自己署名SSLクライアント配布用CA証明書の作成 - sanosoft @ ウィキ

自己署名SSLクライアント配布用CA証明書の作成

自己署名のSSLサーバ証明書は、ブラウザ（IE）の証明機関に登録されていないため、毎回セキュリティの警告が表示されてしまいます。
それを回避するために、クライアントに配布するCA証明書を作成します。

なお、すでに自己署名SSLサーバ証明書は、作成されているものとします。
詳細は「自己署名SSLサーバ証明書の作成」を参照して下さい。

1. クライアント配布用CA証明書の作成

# cd /etc/httpd/certs
# openssl pkcs12 -export -in www.example.jp.cert.pem -inkey www.example.jp.privkey_nopwd.pem \
　-certfile www.example.jp.ca.cert.pem -name www.example.jp -caname www.example.jp \
　-out www.example.jp.client.cert.p12

エクスポート用パスフレーズの入力が求められるので、任意のパスフレーズを入力します。

Enter Export Password : （パスフレーズ）
Verifying - Enter Export Password :（パスフレーズの再入力）

2. PC（Windows）でのクライアント証明書のインストール

Internet Explorer（IE）へクライアント証明書をインストールします。

(1) IE上において、キーボードの [Alt]キーと[X]キーを同時に押して（[Alt]+[X]）、ツールメニューを表示させます。
(2) 「インターネット オプション(O)」をクリックします。
(3) 「コンテンツ」タブをクリックして、その中の「証明書(C)」ボタンをクリックします。
(4) 「信頼されたルート証明機関」タブをクリックして、「インポート(I)...」ボタンをクリックします。
(5) 「証明書のインポート ウィザードの開始」画面が表示されますので、「次へ(N) >」ボタンをクリックします。
(6) 「インポートする証明書ファイル」画面において、「参照(R)...」ボタンをクリックし、ファイル選択ダイアログを表示させます。
(7) 「ファイル名(N):」欄の右側のリストボックスで「Personal Information Exchange(*.pfx;*.p12)」を指定します。
(8) 1. で作成したクライアント配布用CA証明書のファイルを指定して、「開く(O)」ボタンをクリックします。
(9) 「インポートする証明書ファイル」画面において、「ファイル名(F)」欄に指定したファイル名が表示されていることを確認して、「次へ(N) >」ボタンをクリックします。
(10) 「パスワード」画面の「パスワード(P):」欄に 1. で作成した時に入力したエクスポート用パスワードを入力します。また、チェックボックスのチェックは初期値のままで構いません。「次へ(N) >」ボタンをクリックします。
(11) 「証明書ストア」画面で、「証明書をすべて次のストアに配置する(P)」が指定され、「証明書ストア:」に「信頼されたルート証明機関」が表示されていることを確認して、「次へ(N) >」ボタンをクリックします。
(12) 「証明書のインポート ウィザードの完了」画面が表示されたら、「完了」ボタンをクリックします。
(13) 「発行者が次であると主張する証明機関(CA)から証明書をインストールしようとしています：」というメッセージ画面が表示されますので「はい(Y)」ボタンをクリックします。
(14) 再度「発行者が次であると主張する証明機関(CA)から証明書をインストールしようとしています：」というメッセージ画面が表示されますので「はい(Y)」ボタンをクリックします。
(15) 「正しくインポートされました。」というメッセージが表示されたら「OK」ボタンをクリックします。
(16) 「証明書」ダイアログおよび「インターネット オプション」ダイアログを閉じます。
(17) 「https://www.example.jp」でサイトにアクセスして、セキュリティの警告が表示されないことを確認します。

---