長いので、真面目にCAを立てるつもりが無ければ、「結論」だけ読めばok。

用語定義

CA, 認証局: 『証明書』を必要とする人が提出した『リクエスト』から、CAの署名入り『証明書』を生成する、何らかのシステム。
認証を行うシステムなので、CA自身にも信用/信頼といった物が必要。
認証局は、大会社だったり、単にファイル一式が入っただけのディレクトリだったりする。
尚、CAが、『リクエスト』から署名入り『証明書』を発行する為には、CA自分自身の秘密鍵と証明書が必要となる。

秘密鍵: コレがあると、公開鍵によって暗号化されたデータを、復号化して取り出す事が出来る鍵ファイル。
コレが他人の手に渡ると、せっかく暗号化した内容を解読されてしまう。バレないようにする必要がある。
この秘密鍵自体にパスフレーズを付け、秘密鍵を使う際にはパスフレーズを要求するようにする事も出来る。
ファイルの拡張子は通常pemまたはkey。

公開鍵: データを暗号化する為の鍵ファイル。
秘密鍵から生成される。
基本的には、コレが無いとSSL暗号化通信ができないので、ssh等では、サーバに接続後真っ先にこの公開鍵が送られてくる。
ファイルの拡張子は通常pemまたはpub。

リクエスト: CAの署名入り『証明書』を、CAに作ってもらう為に必要になるファイル。
秘密鍵から作成する。
証明書に記述されている各種の情報は、この時点で、X.509形式でリクエストに含めておく。
ファイルの拡張子は通常pemまたはcsr。

証明書

『秘密鍵』(の保有者)の身元を証明するファイル。CAによって生成される。
内容的には、証明書は、CAによって署名(サイン)されただけの『リクエスト』そのもの、と考えて良いようだ。
証明書には公開鍵が含まれている為、証明書を使ってSSL暗号化通信を行う事が出来る。
ファイルの拡張子は通常pemまたはcrt。
証明書は通常、用途によって、使い途が限定されている(限定されないように作る事も出来る)。
よく使われる証明書として、以下のものがある。

CA証明書
- CA自身の身元を証明する為の証明書。親CAによって署名される。が、今回は自署名で作る。
(https)サーバ証明書
- httpsサーバの身元を証明する為の証明書、兼、公開鍵。
- https通信では、サーバに接続後、真っ先にこのサーバ証明書が送られてくる。
(https)クライアント証明書
- httpsクライアント側の身元を証明する為の証明書、兼、公開鍵。
- このクライアント証明書の有無/内容によって、きめ細かいアクセスコントロールが可能。
- 通常、クライアント証明書は、クライアント秘密鍵とセットで、pkcs#12という形式に変換されて配布される。
  - 通常、このpkcs#12ファイルを、クライアント側にインストールして使う。
  - pkcs#12ファイルの拡張子は通常p12。

失効リスト: CAによって署名された証明書は、CAによって何時でも(署名を)失効させる事が出来る。その、(署名を)失効させた証明書のリストが書かれたファイル。
尚、指定された期限が切れても、署名は失効する。
ファイルの拡張子は通常pemまたはcrl。

プライベートCAを作る

opensslを使って、プライベートCAを作った時の手順メモ。

コレが正しいかどうかは怪しげ。

先にCA専用アカウントを用意し、suしておく。

CAの名前、設置するディレクトリ、サイトURL, 証明書URL, 失効リストURLを決めておく。

CA_DIR=/var/lib/ca
CA_URL=http://ca.tir.jp/
CA_CRT_URL=http://ca.tir.jp/ca.tir.jp.crt
CA_CRL_URL=http://ca.tir.jp/ca.tir.jp.crl

CA用ディレクトリに入っておく。
```
cd ${CA_DIR}
```

設定ファイルを作成する。

cat > openssl.ca.conf <<EOF
RANDFILE    = \$ENV::HOME/.rnd
oid_file    = \$ENV::HOME/.oid
oid_section = new_oids

[ new_oids ]

[ ca ]
  default_ca              = CA_default

[ CA_default ]
  dir                     = ${CA_DIR}
  certs                   = \$dir/certs
  crl_dir                 = \$dir/crl
  database                = \$dir/index.txt
  new_certs_dir           = \$dir/newcerts
  certificate             = \$dir/ca.cert.pem
  serial                  = \$dir/serial
  crl                     = \$dir/ca.crl.pem
  private_key             = \$dir/private/ca.key.pem
  RANDFILE                = \$dir/private/.rand
  x509_extensions         = cert_plain
  crl_extensions          = crl_ext
  name_opt                = ca_default
  cert_opt                = ca_default

  default_days            = 365
  default_crl_days        = 7
  default_md              = sha1
  preserve                = no
  policy                  = policy_anything

[ policy_match ] 
  countryName             = match 
  stateOrProvinceName     = optional 
  localityName            = match 
  organizationName        = match 
  organizationalUnitName  = optional 
  commonName              = supplied 
  emailAddress            = optional

[ policy_anything ]
  countryName             = optional
  stateOrProvinceName     = optional
  localityName            = optional
  organizationName        = optional
  organizationalUnitName  = optional
  commonName              = supplied
  emailAddress            = optional

[ cert_plain ]
  basicConstraints        = CA:true
  subjectKeyIdentifier    = hash
  authorityKeyIdentifier  = keyid,issuer:always

[ cert_ca ]
  basicConstraints        = CA:true
  subjectKeyIdentifier    = hash
  authorityKeyIdentifier  = keyid:always,issuer:always
  keyUsage                = cRLSign, keyCertSign
  issuerAltName           = URI:${CA_CRT_URL}
  crlDistributionPoints   = URI:${CA_CRL_URL}

[ cert_server ]
  basicConstraints        = CA:FALSE
  subjectKeyIdentifier    = hash
  authorityKeyIdentifier  = keyid:always,issuer:always
  nsCertType              = server
  keyUsage                = digitalSignature, keyEncipherment
  issuerAltName           = URI:${CA_CRT_URL}
  crlDistributionPoints   = URI:${CA_CRL_URL}

[ cert_client ]
  basicConstraints        = CA:FALSE
  subjectKeyIdentifier    = hash
  authorityKeyIdentifier  = keyid:always,issuer:always
  nsCertType              = client, email
  keyUsage = nonRepudiation, digitalSignature, keyEncipherment
  issuerAltName           = URI:${CA_CRT_URL}
  crlDistributionPoints   = URI:${CA_CRL_URL}

[ crl_ext ]
  #issuerAltName           = issuer:copy
  authorityKeyIdentifier  = keyid:always,issuer:always

EOF

cat > openssl.req.conf <<EOF
RANDFILE    = \$ENV::HOME/.rnd
oid_file    = \$ENV::HOME/.oid
oid_section = new_oids

[ new_oids ]

[ req ]
  default_bits            = 1024
  distinguished_name      = req_distinguished_name
  attributes              = req_attributes
  default_md              = sha1
  x509_extensions         = v3_plain
  string_mask             = nombstr

[ req_distinguished_name ]
  countryName                     = Country Name (2 letter code)
  countryName_default             = JP
  countryName_min                 = 2
  countryName_max                 = 2
  stateOrProvinceName             = State or Province Name (full name)
  stateOrProvinceName_default     = Hyogo
  localityName                    = Locality Name (eg, city)
  localityName_default            = Kawanishi
  0.organizationName              = Organization Name (eg, company)
  0.organizationName_default      = tir.jp
  organizationalUnitName          = Organizational Unit Name (eg, section)
  organizationalUnitName_default  = ca
  commonName                      = Common Name (***IMPORTANT***)
  commonName_max                  = 64
  emailAddress                    = Email Address
  emailAddress_default            = yamada@tir.jp
  emailAddress_max                = 64

[ req_attributes ]
  challengePassword               = A challenge password
  challengePassword_min           = 4
  challengePassword_max           = 20
  unstructuredName                = An optional company name

[ v3_plain ]
  basicConstraints                = CA:true
  subjectKeyIdentifier            = hash
  authorityKeyIdentifier          = keyid:always,issuer:always

# use only create to self-signed certificate of CA
[ v3_self_ca ]
  basicConstraints                = CA:true
  subjectKeyIdentifier            = hash
  authorityKeyIdentifier          = keyid:always,issuer:always
  keyUsage                        = cRLSign, keyCertSign
  nsCertType                      = sslCA, emailCA
  issuerAltName                   = URI:${CA_CRT_URL}
  crlDistributionPoints           = URI:${CA_CRL_URL}
  nsBaseUrl                       = ${CA_URL}
  nsCaRevocationUrl               = ${CA_CRL_URL}
  nsRevocationUrl                 = ${CA_URL}
  nsRenewalUrl                    = ${CA_URL}
  nsCaPolicyUrl                   = ${CA_URL}

EOF

CAとして証明書を作成する用の設定ファイルと、リクエストを作成する用の設定ファイルを分けておいた。
リクエスト用の設定ファイルは、自分の便利なようにデフォルト値を変更しておく事。

その他のファイルとディレクトリを作成する。

touch index.txt
echo '01' > serial
chmod 644 ca.conf index.txt serial
mkdir -p certs crl newcerts private work
chmod 755 . certs crl newcerts
chmod 700 private work

このCA自身の秘密鍵(ca.key.pem)を作る。
```
openssl genrsa -des3 -out private/ca.key.pem 1024 \
  && chmod 400 private/ca.key.pem
```
- この鍵はCAで一番重要な鍵なので、パスフレーズを付けて管理する。
秘密鍵から、このCA自身の証明書を作る為のリクエスト(ca.request.pem)を作る。
```
openssl req \
  -config ~/openssl.req.conf \
  -new \
  -key private/ca.key.pem \
  -out work/ca.request.pem
```
- Common Nameは、このCA自身の名前を入力する事。
- challenge passwordは空にしておく。
リクエストから、このCA自身の証明書(ca.cert.pem)を作る(自署名)。
```
openssl req \
  -config ~/openssl.req.conf \
  -extensions v3_self_ca \
  -x509 \
  -key private/ca.key.pem \
  -in work/ca.request.pem \
  -out ./ca.cert.pem \
  -days 3650
```
- プライベートCAではなく、本物のCAを作る場合は、リクエストを親CAに提出して、親CAに証明書を作ってもらう事。
リクエストはもう不要なので消しておく。
```
rm work/ca.request.pem
```
このCAから発行した証明書の失効リストを作る。
```
openssl ca \
  -config ~/openssl.ca.conf \
  -gencrl \
  -out ./ca.crl.pem
```
- 以下のコマンドで、失効リストの内容が読める。
```
openssl crl -in ca.crl.pem -text
```
証明書と失効リストを、配布URLに設置する。
- 自分で適当に行う事。
- この作業を行わないと、ブラウザから警告が表示される場合がある。
- 尚、それぞれのContent-Typeは、正しくapplication/x-x509-ca-certまたはapplication/pkix-crlを送らなくてはマズいらしい。
  - apacheを使って配布するなら、適当に、以下のようにしておく。
```
AddType application/x-x509-ca-cert .crt
AddType application/pkix-crl .crl
```

hash linkを作る。

ln -sf ca.cert.pem `openssl x509 -noout -hash < ca.cert.pem`.0
ln -sf ca.crl.pem `openssl crl -noout -hash < ca.crl.pem`.r0

以上で、CAとして機能する為に必要な準備は完了。

しかし、毎回コマンドを入力するのは面倒なので、スクリプトを用意しておく。

cat > server_keycertgen.sh <<EOF
#!/bin/sh
EXTENSIONS=cert_server
if [ \$1 ]; then
  cd ${CA_DIR} || exit 1
  if [ -e private/\$1.keycert.pem ]; then
    echo "'private/\$1.keycert.pem' already exists!" 1>&2
    exit 1
  else
    openssl genrsa -out work/\$1.key.pem 1024 \\
      && chmod 400 work/\$1.key.pem \\
      && openssl req \\
        -config ~/openssl.req.conf \\
        -new \\
        -key work/\$1.key.pem \\
        -out work/\$1.request.pem \\
      && openssl ca \\
        -config ~/openssl.ca.conf \\
        -policy policy_anything \\
        -extensions \${EXTENSIONS} \\
        -out work/\$1.cert.pem \\
        -days 365 \\
        -infiles work/\$1.request.pem \\
      && cat work/\$1.key.pem work/\$1.cert.pem \\
        > private/\$1.keycert.pem \\
      && chmod 400 private/\$1.keycert.pem \\
      && echo "'private/\$1.keycert.pem' created."
    rm -f work/\$1.key.pem work/\$1.request.pem work/\$1.cert.pem
  fi
else
  echo "usage : \$0 target-name" 1>&2
  exit 1
fi
EOF
cat > client_keycertgen.sh <<EOF
#!/bin/sh
EXTENSIONS=cert_client
if [ \$1 ]; then
  cd ${CA_DIR} || exit 1
  if [ -e private/\$1.keycert.pem ]; then
    echo "'private/\$1.keycert.pem' already exists!" 1>&2
    exit 1
  else
    openssl genrsa -out work/\$1.key.pem 1024 \\
      && chmod 400 work/\$1.key.pem \\
      && openssl req \\
        -config ~/openssl.req.conf \\
        -new \\
        -key work/\$1.key.pem \\
        -out work/\$1.request.pem \\
      && openssl ca \\
        -config ~/openssl.ca.conf \\
        -policy policy_anything \\
        -extensions \${EXTENSIONS} \\
        -out work/\$1.cert.pem \\
        -days 365 \\
        -infiles work/\$1.request.pem \\
      && cat work/\$1.key.pem work/\$1.cert.pem \\
        > private/\$1.keycert.pem \\
      && chmod 400 private/\$1.keycert.pem \\
      && echo "'private/\$1.keycert.pem' created."
    rm -f work/\$1.key.pem work/\$1.request.pem work/\$1.cert.pem
  fi
else
  echo "usage : \$0 target-name" 1>&2
  exit 1
fi
EOF
cat > ca_keycertgen.sh <<EOF
#!/bin/sh
EXTENSIONS=cert_ca
if [ \$1 ]; then
  cd ${CA_DIR} || exit 1
  if [ -e private/\$1.keycert.pem ]; then
    echo "'private/\$1.keycert.pem' already exists!" 1>&2
    exit 1
  else
    openssl genrsa -out work/\$1.key.pem 1024 \\
      && chmod 400 work/\$1.key.pem \\
      && openssl req \\
        -config ~/openssl.req.conf \\
        -new \\
        -key work/\$1.key.pem \\
        -out work/\$1.request.pem \\
      && openssl ca \\
        -config ~/openssl.ca.conf \\
        -policy policy_anything \\
        -extensions \${EXTENSIONS} \\
        -out work/\$1.cert.pem \\
        -days 365 \\
        -infiles work/\$1.request.pem \\
      && cat work/\$1.key.pem work/\$1.cert.pem \\
        > private/\$1.keycert.pem \\
      && chmod 400 private/\$1.keycert.pem \\
      && echo "'private/\$1.keycert.pem' created."
    rm -f work/\$1.key.pem work/\$1.request.pem work/\$1.cert.pem
  fi
else
  echo "usage : \$0 target-name" 1>&2
  exit 1
fi
EOF
chmod a+x server_keycertgen.sh
chmod a+x client_keycertgen.sh
chmod a+x ca_keycertgen.sh

コレで、簡単に証明書が作れるようになった。

サーバ証明書を作るには、
```
./server_keycertgen.sh fqdn
```
で、幾つかの質問とCAのパスフレーズを入力するだけで、
```
private/fqdn.keycert.pem
```
が生成される。この内容については後述。
クライアント証明書が欲しい場合は、同様に、
```
./client_keycertgen.sh client_name
```
で、幾つかの質問とCAのパスフレーズを入力するだけで、
```
private/client_name.keycert.pem
```
が生成される。
- p12ファイルそのものは生成してくれないので、自分で変換する事。
これらのスクリプトは、以下に述べる、
1. 秘密鍵生成
2. リクエスト生成
3. 証明書生成
4. 秘密鍵と証明書を合成
を、自動で実行しているだけ。詳細についてはそれぞれの項目を見る事。

秘密鍵を作る

https等で必要になる秘密鍵は、以下のコマンドで生成する。
```
openssl genrsa -out path/to/ssl.tir.jp.key.pem 1024 \
  && chmod 400 path/to/ssl.tir.jp.key.pem
```
- 秘密鍵は他人に見られてはマズいので、パーミッションに気を付ける事。

または、パスフレーズ付きにしたい場合は、以下のコマンドで生成する。

openssl genrsa -des3 -out path/to/ssl.tir.jp.key.pem 1024 \
  && chmod 400 path/to/ssl.tir.jp.key.pem

以下のコマンドで、秘密鍵の内容が読める（人間が見て有意な情報は特に無い）。
```
openssl rsa -in path/to/ssl.tir.jp.key.pem -text
```

リクエストを作る

(作った秘密鍵の身元を保証する為の)証明書をCAに作ってもらう為に必要になるリクエストは、以下の手順で作成する。

まず最初に、設定ファイルを作っておく。
- 上の「プライベートCAを作る」の項目を見る事。そこのopenssl.req.confファイル。
- 設定ファイルは別に作らなくても良いが、作っておくと、二回目以降が楽になる。
秘密鍵からリクエストを生成する。
```
openssl req \
  -config ~/openssl.req.conf \
  -new \
  -key path/to/ssl.tir.jp.key.pem \
  -out path/to/ssl.tir.jp.request.pem
```
- ここで重要なのはCommon Name。Common Nameに何を記述するのかは、証明書の用途によって変わってくる。
  - CA自身の証明書の場合は、作るCAの名前を記述する。
  - httpsサーバの証明書の場合は、httpsでアクセスする、完全に正しいドメイン名を記述する。別名不可。但し、ワイルドカード文字として「*」が使用可能(詳細についてはrfc2818を読む事)。
  - httpsクライアントの証明書の場合は、クライアント固有の名前を記述する(CGIメタ変数から、このクライアント名を取得できる)。
- challenge passwordは、例によって空にしておく。

以下のコマンドで、リクエストファイルの内容が読める。
```
openssl req -in path/to/ssl.tir.jp.request.pem -text
```

証明書を作る

CAが、リクエストから、CAの署名入り証明書を生成する。
```
openssl ca \
  -config ~/openssl.ca.conf \
  -policy policy_anything \
  -extensions cert_server \
  -out work/ssl.tir.jp.cert.pem \
  -days 365 \
  -infiles work/ssl.tir.jp.request.pem
```
- 作る証明書の種類(CA証明書か、サーバ証明書か、クライアント証明書か)によって、異なる設定を行わなくてはならないので、設定ファイルを使って、-extensionsオプションで切り換えられるようにしておいた。
- どうも、引数の順序が重要らしく、-infilesを最後にもってこないと、エラーになるようだ。
- 証明書を作る時は、CAは、リクエストの内容をよく吟味して、本当にCA自身の署名の入った証明書を作ってもよいかどうか判断する事。
証明書を作成すると、serialが1増え、index.txtが更新され、newsertsに証明書の写しが保存される。
- ココでやっと初めて、このディレクトリこそがCAそのものだという事が分かる。大会社の認証局も、このプロセスをもっと大掛かりにやっているだけに過ぎない。
以下のコマンドで、証明書の内容が読める。
```
openssl asn1parse -i -in work/ssl.tir.jp.cert.pem
```
- しかし実は、こうやって生成した証明書には、人間が読める形式で既に内容が記述されていたりする(自署名で作ったCAの証明書には無い)。

秘密鍵と証明書を合成する

秘密鍵と証明書は、別々のままでも機能するが、合成して一つにしておいた方が管理しやすい。
```
cat path/to/ssl.tir.jp.key.pem path/to/ssl.tir.jp.cert.pem \
  > path/to/ssl.tir.jp.keycert.pem
chmod 400 path/to/ssl.tir.jp.keycert.pem
```
- 秘密鍵が含まれているので、例によって、パーミッションに気を付ける事。

pkcs#12形式のクライアント証明書を作る

予め、先に述べた手順で、クライアント用の秘密鍵、リクエスト、証明書を作っておき、秘密鍵と証明書を合成しておく。
- Common Nameには、クライアントを識別できる名前を記述しておく事。
- その結果、既に path/to/client.keycert.pem が生成されているものとする。
合成された秘密鍵と証明書を、ブラウザに組み込める形に変換する
```
openssl pkcs12 \
  -export \
  -in path/to/client.keycert.pem \
  -out path/to/client.p12 \
  -name "certificate of user yamada for ssl.tir.jp"
```
- -nameは適当にソレらしい内容にする(ブラウザにインストールする際に表示される)
- この時点でパスワードを設定しておくと、ブラウザにインストールする際に、このパスワードを知らない限り、インストールできなくなる。是非設定しておくべき。
- 生成された*.p12ファイルは、ieなら、ダブルクリックすればウィザードが起動するので、その通りにすればインストールできる。
- mozilla系なら、preferencesから設定できる。

生成したCA証明書、サーバ証明書、クライアント証明書を使ってみる

apacheでの例 : apache:mod_ssl

その他おぼえがき

*.pemファイルが一体何なのか分からなくなったら、中味を見てみる。
- 「-----BEGIN RSA PRIVATE KEY-----」と書いてあるなら、秘密鍵。
- 「-----BEGIN CERTIFICATE REQUEST-----」と書いてあるなら、リクエスト。
- 「-----BEGIN CERTIFICATE-----」と書いてあるなら、証明書。
- 「-----BEGIN X509 CRL-----」と書いてあるなら、失効リスト。
- *.pemファイルは連結可能なので、「秘密鍵+証明書」の場合等も有り得るので、ちゃんとファイルの中味は全体を確認する事。
プライベートCAを作ったなら、自署名の時とは違って、クライアントには、各サーバの証明書ではなく、CA自身の証明書をインストールさせるようにする。
- コレで、このCAで発行した証明書は、今後、無警告で信用される事になる。コレは非常に権限が大きい！
  - だからこそ、ieやmozilla等のブラウザには、(信用するに値する)大手のCAの証明書しか、デフォルトではインストールされていない。
- 当然、クライアントは、そのCAが信用に値するかどうかをよく考え、少しでも信用できない要素があるなら、そのCAの証明書はインストールすべきでは無い。
ゲイツieでは、CA自身の証明書が入っていない時に、そのCAによってサインされたサーバ証明書のhttpsにアクセスした時のに出る警告が、誤訳か何かで、何か大きく間違っている(適切でない)。
- ゲイツieは、昔から、この証明書回りのメッセージが何かしら変だった(昔よりは、ずっとマシになってはいるけど)。
一発で秘密鍵込み自署名証明書を作る
- 準備中。
証明書の有効期限は、ASN.1の仕様で西暦下二桁でしか保存されない。つまり、100年以上の有効期限は正しく認識されない。
- 上の説明は実は微妙に間違っていた。正確には、opensslが出力するASN.1の有効期限項目はUTCTimeにしか対応しておらず、このUTCTimeが西暦下二桁しか記録していない上に、2049年までしか対応していない、という事だった。
  - 2050年以降を指定する場合はUTCTimeではなく、GeneralizedTimeで指定すればよいようだが、前述の通り、opensslはGeneralizedTimeでは出力してくれないし、同様に証明書を読むクライアントの方もちゃんと対応できているかどうかが怪しいように思える。
  - この詳細は http://www.trustss.co.jp/smnDataFormat410.html#Validity にある。
生成した、秘密鍵込み証明書は、以下のようにしてから、ブラウザから
```
https://localhost:8888/
```
にアクセスする事で、動作確認が出来る。
- 自署名の場合
```
openssl s_server -accept 8888 -www \
  -cert 秘密鍵込み証明書ファイル
```
- CAに証明書を作ってもらった場合
```
openssl s_server -accept 8888 -www \
  -cert 秘密鍵込み証明書ファイル \
  -CAfile CA自身の証明書ファイル
```
  - -CAfileは、上の例でのca.cert.pem相当のファイルを、CAから貰っておく。
- CAに証明書を作ってもらった場合その二(複数のCAから証明書を作ってもらっていたり、失効リストを有効活用したい場合)
```
openssl s_server -accept 8888 -www \
  -cert 秘密鍵込み証明書ファイル \
  -CApath ※以下の説明のディレクトリ
```
  - -CApathには、以下のファイルが入ったディレクトリを指定する。
    - CA自身の証明書(上の例での、ca.cert.pem相当のファイル)
    - CAの失効リスト(上の例での、ca.crl.pem相当のファイル)
    - 証明書のhash link(以下のコマンドで生成しておく)
```
ln -s ca.cert.pem `openssl x509 -noout -hash < ca.cert.pem`.0
```
    - 失効リストのhash link(以下のコマンドで生成しておく)
```
ln -s ca.crl.pem `openssl crl -noout -hash < ca.crl.pem`.r0
```

プライベートCAのデメリット

プライベートCAによって署名されたサーバ証明書を使っているhttpsなurlにieでアクセスすると、通常の自署名サーバ証明書の時よりも、プライベートCAの分だけ、ブラウザの警告が一つ余計に表示される場合があるようだ。
- つまり、「アクセスするユーザにCA自身の証明書をインストールさせないのであるなら、自署名サーバ証明書を使っている時よりも、より警告の量が増える」、という事になる。
CA自身の証明書は、事前に配布してインストールしてもらう必要がある。アクセスした段階でインストールする選択肢のあるサーバ証明書とは違い、少し手間がある。

結論

クライアント認証の為に、大量のクライアント証明書を管理するような時にこそ、プライベートCAが役に立つ。しかし、サーバ証明書の場合は、単なる自署名サーバ証明書の方がマシなようだ。

参考にしたリンク

最終更新 : 2009/12/24 12:37:01 JST

openssl:CA