CentOS 8 で easy-rsa を使用し、内部向けの CA とサーバー証明書を作成する手順です。検証環境や内部サービスの TLS 化で使う自己署名 CA のメモとして整理します。
コマンドはコピペしやすい形を優先しています。既存設定を変更する場合は、バックアップを取ってから適用します。
この手順は CentOS 8 設定マニュアル の一部として整理しています。
参考書籍
参考書籍
暗号技術入門 第3版 秘密の国のアリス
公開鍵暗号、電子署名、証明書など、TLS や内部 PKI の前提になる暗号技術を確認したい場合の参考書籍です。価格や在庫はリンク先で確認してください。
Amazon で見るこのリンクは Amazon アソシエイトリンクです。
インストール
dnf install easy-rsa作業ディレクトリ
mkdir -p /root/work
cp -r /usr/share/easy-rsa/3.0.8 /root/work/easy-rsa
cp /usr/share/doc/easy-rsa/vars.example /root/work/easy-rsa/vars
cd /root/work/easy-rsavars
cat <<'EOF' >> /root/work/easy-rsa/vars
set_var EASYRSA_REQ_COUNTRY "JP"
set_var EASYRSA_REQ_PROVINCE "Tokyo"
set_var EASYRSA_REQ_CITY "Tokyo"
set_var EASYRSA_REQ_ORG "example"
set_var EASYRSA_REQ_EMAIL "root@example.com"
set_var EASYRSA_REQ_OU "system"
set_var EASYRSA_ALGO rsa
set_var EASYRSA_KEY_SIZE 2048
EOFCA と証明書
./easyrsa init-pki
./easyrsa build-ca
./easyrsa --subject-alt-name="DNS:server.example.com" gen-req server nopass
./easyrsa --subject-alt-name="DNS:server.example.com" sign-req server server確認
ls -l pki/ca.crt pki/issued/server.crt pki/private/server.key
openssl x509 -in pki/issued/server.crt -noout -text | grep -A2 "Subject Alternative Name"自己署名 CA は内部で信頼の起点を自分で管理するためのものです。CA 秘密鍵の保管、証明書期限、配布先を合わせて管理します。
この手順は CentOS 8 設定マニュアル の一部として整理しています。
CentOS 8 easy-rsa を使用した SSL 証明書の作成
Related posts:
CentOS 7 SSL 証明書 – 自己署名 CA と内部向け TLS の基本
Kubernetes Deployment を使用した CentOS コンテナの実行
CentOS 6 Squid SSL 対応の透過型プロキシは断念
CentOS 6 easy-rsa 自己署名証明書の作成
CentOS 7 Apache TLS 設定 – 自己署名証明書で HTTPS 化する
CentOS 7 Apache TLS 設定 – Let’s Encrypt で HTTPS 化する
CentOS 8 と CentOS 7 の違い – 移行期に見えた変更点
CentOS 8 が 2021 年で終了 – CentOS Stream への転換点
CentOS 8 から CentOS 8 へ公開鍵認証で SSH 接続する
Ubuntu 22.04 easy-rsa – 内部 CA と SAN 付き自己署名証明書を作成する
公開鍵アルゴリズム RSA から Ed25519 へ
CentOS 5 BIND 内部用 DNS サーバー構築