自己署名PEM証明書の信頼

1. 証明書を/etc/ssl/certsターゲットシステムにコピーします。次に、証明書名をコマンドで生成されたハッシュに置き換えopenssl x509 -noout -hash -in ca-certificate-fileてシンボリックリンクを作成します。ca-certificate-fileこれにより、独自の証明書ストアを持たないすべてのプログラムで証明書を受け入れる必要があります。

   独自の証明書ストア（ブラウザ、Javaなど）があるプログラムの場合は、証明書をインポートする必要があります。

2. 自己署名または署名付き証明書を生成するのが最善です。

   tinyca2独自の認証局をインストールして作成することもできます。上記の手順に従って、認証局の証明書をインポートできます。アプリケーションの署名証明書を生成してデプロイします。

   証明書を信頼する必要があるユーザーにCA証明書を展開します。証明書のインポート方法に関する情報を提供する必要があります。警告：これはあなたが信頼できる別のCAになりますので、それに応じてCAを保護してください。

   自己署名証明書または信頼できないCAの証明書を信頼するように多くのツールを構成することもできます。これは通常、ワンタイムタスクです。これは承認された証明書のみを信頼するため、安全でない機関でCA証明書を承認するよりも安全です。

DebianとUbuntuでは、それらをコピーしcertificate.pemて/usr/local/share/ca-certificates/certificate.crt実行する必要がありますdpkg-reconfigure ca-certificates。/etc/ssl/certsこのコマンドで管理されます。

ブラウザには信頼できる認証局（CA）証明書のリストがあります。サーバーの証明書がこれらのCA証明書の1つで署名され、正しい形式の場合、SSL警告は表示されません。

多くのブラウザには、Verisign、Thawteなどの多くの共通CA証明書が付属しています。ほとんどのブラウザでは、新しいCAを信頼できるCAのリストにインポートできます。

自己署名付きサーバー証明書を生成するのと同様に、自己署名付きCA証明書を生成できます。その後、それを使用してサーバー証明書に署名できます。 CAが評判の良い会社から提供されていない場合（直接作成した場合を除く）、サーバー側からCAを明示的にインポートする必要があります。

私は前にこれをやったことがありますxca。 CAとHTTPサーバー用のテンプレートがあります。手順は次のとおりです。

• CAの秘密鍵の作成
• 「CA」テンプレートを使用して、このキーを使用して自己署名CAを作成します。
• プロキシサーバー用の秘密鍵の作成
• 作成したCAを参照する2番目のキーを使用して、証明書署名要求（CSR）を生成します。
• CSRに「署名」すると、独自のCAを参照するプロキシサーバー証明書を受け取ります。

xca次に、CA証明書（もちろん秘密鍵ではない）をエクスポートする必要があります（使用する場合はファイルとして）。.pem1つが生成されますが、拡張子を.crt。この.crtを自動的にインストールする場合は、次のことができます。

• IEでのグループポリシーの使用
• ユーザーが警告を避けるために、.crtをダウンロード/インストールするように求める紹介ページにユーザーを案内してください。

その後、HTTPサーバー証明書（サーバー側の秘密鍵と証明書のエクスポート）のエクスポート機能を使用してプロキシサーバーにデプロイできます。