自己署名ルートCA証明書とキーがあります。
このCAで署名するサーバー証明書を作成しようとしています。
私が取ったステップは次のとおりです。
1) サーバーキーの生成
openssl genrsa -out server.key 2048
2) 365日を指定する署名要求の生成
openssl req -new -key server.key -out server.csr -days 365 -sha256
3)自己署名CAを使用して要求に署名します。
openssl x509 -req -in server.csr -CA CA.crt -CAkey CA.key -CAcreateserial -out server.crt -sha256
新しく生成された証明書を確認すると、次のようになります。
openssl x509 -noout -text -in server.crt
出力で次のことがわかります。
Validity Not Before: May 8 14:19:44 2017 GMT Not After : Jun 7 14:19:44 2017 GMT
私がここで何を間違っているのかよくわかりませんか? 365日を指定しましたが、有効期限が正しい証明書が生成されないのはなぜですか?
答え1
証明書の妥当性は、最後のステップで次のように指定する必要があります。
openssl x509 -req -in server.csr -CA CA.crt -CAkey CA.key -CAcreateserial -out server.crt -sha256 -days 365
そうでない場合、CSRの作成時に365日を要求すると、署名のデフォルト設定はCSRに署名したときに要求された日数を上書きします。