CentOS 8 は既に通常の CentOS Linux としてはサポートが終了しています。このページは新規構築を推奨するものではなく、過去環境の保守、移行前調査、設定の読み解きに使うためのレガシー Linux 手順です。新規構築では、現在サポートされているディストリビューションを利用してください。
この記事では、CentOS 8 で easy-rsa を使い、内部 CA と自己署名系の証明書を作る基本を整理します。公開証明書ではなく、検証環境や内部サービスで利用する証明書を前提にしています。
easy-rsa の役割
easy-rsa は、OpenVPN などでも使われる簡易的な PKI 管理ツールです。CA の初期化、サーバー証明書の発行、クライアント証明書の発行を手元で管理できます。
| 要素 | 役割 |
| CA | 証明書を発行する内部認証局 |
| server certificate | サーバーが提示する証明書 |
| client certificate | クライアント証明書認証で使う証明書 |
| CRL | 失効した証明書の一覧 |
初期化と CA 作成
dnf install -y easy-rsa
mkdir -p /etc/easy-rsa
cp -a /usr/share/easy-rsa/3/* /etc/easy-rsa/
cd /etc/easy-rsa
./easyrsa init-pki
./easyrsa build-caサーバー証明書の作成
内部サービス向けにサーバー証明書を作る例です。実運用では SAN を含めること、秘密鍵の保護、CA 証明書の配布先を明確にすることが重要です。
cd /etc/easy-rsa
./easyrsa gen-req server.example.com nopass
./easyrsa sign-req server server.example.com
ls -l pki/issued/server.example.com.crt pki/private/server.example.com.key注意点
- 内部 CA は便利ですが、信頼範囲を明確にしないと危険です。
- 秘密鍵はバックアップと権限管理を分けて考えます。
- ブラウザや OS へ信頼させる場合は CA 証明書の配布が必要です。
まとめ
easy-rsa は、内部 CA と証明書を手早く作るには便利です。ただし、証明書を作ることと、信頼設計を作ることは別です。CentOS 8 の古い環境でも、CA、秘密鍵、配布先、失効の扱いを分けて管理する必要があります。
関連する記事
- CentOS 8 OpenSSL PKCS#12 形式への変換
証明書と秘密鍵を PKCS#12 にまとめる記事です。 - CentOS 8 OpenLDAP LDAP クライアント – ldapsearch と証明書信頼設定
LDAPS の証明書信頼確認です。 - CentOS 8 サーバー管理ガイド
CentOS 8 関連記事のハブです。
参考書籍
参考
書籍
書籍
参考書籍
暗号技術入門 第3版 秘密の国のアリス
公開鍵暗号、電子署名、証明書など、TLS や内部 PKI の前提になる暗号技術を確認したい場合の参考書籍です。価格や在庫はリンク先で確認してください。
Amazon で見るこのリンクは Amazon アソシエイトリンクです。
CentOS 8 easy-rsa を使用した SSL 証明書の作成
関連記事
Kubernetes Deployment を使用した CentOS コンテナの実行
CentOS 7 SSL 証明書 – 自己署名 CA と内部向け TLS の基本
CentOS 6 Squid SSL 対応の透過型プロキシを断念した理由
CentOS 6 easy-rsa で自己署名証明書を作成する – OpenVPN 用 PKI の基本
CentOS 8 と CentOS 7 の違い – 移行期に見えた変更点
CentOS 8 が 2021 年で終了 – CentOS Stream への転換点
CentOS 8 から CentOS 8 へ公開鍵認証で SSH 接続する
CentOS 8 英語環境から日本語環境への変更