2011年4月23日土曜日

オレオレ証明書の証明書更新

完全なる備忘録。プロバイダから付与された IP アドレス間でトランスペアレントモード
IPSec するにあたって racoon を certificate_type x509 で動かしているんだけど、この
証明書の更新、および更新方法を都度忘れて調べ直すので、ここにメモ。CRL のハッシュ
がわからず「証明書を取り扱う」を多々参考にさせてもらいました。ありがとうございます
CSR の作成
openssl req -new -keyout server_key.pem -out server_csr.pem -nodes

オレオレ CA で sigh
openssl ca -config /etc/ssl/openssl.cnf -in server_csr.pem -out server_cert.pem

CRL の発行
openssl ca -config /etc/ssl/openssl.cnf -gencrl -out crl.pem

証明書のハッシュ
ln -s server_cert.pem `openssl x509 -in server_cert.pem -noout -hash`.0

CRL のハッシュ
ln -s crl.pem `openssl crl -in crl.pem -noout -hash`.r0

おまけ。確認方法とか
テキスト出力
openssl x509 -in csr.pem -text

verify
openssl verify -CAfile ca.pem csr.pem

nodes 付け忘れ
openssl rsa -in server_key.pem -out server_nodes_key.pem

0 件のコメント: