OpenSSL:オレオレ認証局のディレクトリの構成
オレオレ認証局のディレクトリの構成
code:txt
ca
+ Makefile
+ config
+ openssl.cnf
+ bin コマンド
+ certs 証明書
+ crls 証明書失効リスト
+ archive
user
+ Makefile
+ config
+ openssl.cnf
+ certs 証明書
+ commonName ごとにディレクトリ名を付ける
+ archive
+ commonName ごとにディレクトリ名を付ける
要件
ルートCA、中間CAの、鍵、証明書要求、証明書は、通常の証明書と分けておきたい。
中間CAは必要? たぶん不要だと思う。
鍵、証明書要求、証明書は分けておきたい。ファイル名とパーミッションだけで十分?
いつ発行されたものかはファイル名かディレクトリ名で残しておきたい。
すべてのファイルは archive に作成して、現在有効な証明書や鍵に対してシンボリックリンクが作られるようにする。
古い証明書(revokeされたものも含む)も残しておきたい。発行履歴として永久保存扱い。
証明局と利用者とで両方が証明書を保持するものとする。
あくまで発行までの自動化で、発行されたファイルがどこに配置されるかまではここでは扱わない。
秘密鍵の生成と署名要求の生成とは分けておく?
どのスタンスにする?
異なるドメインごとにフォルダを作る。
異なるファイル種別ごとにフォルダを作る。
ファイル名が異なれば混ぜてもよい。
拡張子が異なれば混ぜてもよい。
拡張子はどうする?
*.pem, *.der はエンコーディング方式
*.key, *.csr, *.crt は種別
参考