HTTPSの自己署名証明書の設定
前提条件
Windows
このドキュメントは Windows を利用していることを想定しています。
Chocolatey
- Chocolatey はこちらのリンクからインストールできます:https://chocolatey.org/install
OpenSSL
OpenSSL は堅牢で商用レベルでの利用にも耐えられる、機能豊富な Transport Layer Security(TLS) および Secure Sockets Layer(SSL)プロトコルのツールキットです。以下のコマンドでインストールできます。
choco install openssl.light
手順 1:秘密鍵を作成する
次のコマンドを実行します。:
"C:\Program Files\OpenSSL\bin\openssl.exe" genrsa -des3 -out rootSSL.key 2048
パスワードを入力します。:
Enter pass phrase for rootSSL.key:
パスワードを確認します。
Verifying - Enter pass phrase for rootSSL.key:
手順 2:証明書ファイルを作成する
次のコマンドを実行します。:
"C:\Program Files\OpenSSL\bin\openssl.exe" req -x509 -new -nodes -key rootSSL.key -sha256 -days 1024 -out rootSSL.pem
パスワードを入力します:
Enter pass phrase for rootSSL.key:
ソフトウェアを利用する国の 2 文字の国コードを入力します。:
Country Name (2 letter code) [AU]:CA
ソフトウェアを利用する場所(州、都道府県など)の名称を入力します。:
State or Province Name (full name) [Some-State]:Quebec
ソフトウェアを利用する地域(市区町村、郡など)の名称を入力します。:
Locality Name (eg, city) []:montreal
ソフトウェアを利用する組織の名称を入力します。 :
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Unity
組織内で所属しているビジネスユニットの名称を入力します。:
Organizational Unit Name (eg, section) []:Verticals
ソフトウェアを利用するコンピューターの「完全修飾ドメイン名(FQDN)」または利用者自身のお名前を入力します。:
Common Name (e.g. server FQDN or YOUR name) []:Tony
メールアドレスを入力します:
Email Address []:anthonyma@unity3d.com
手順 3:Windows で認証局(CA)を信頼する
マイクロソフト管理コンソール(mmc.exe)を検索して起動します。
ファイル > スナップインの追加と削除...を選択します。
証明書をクリックして、次に追加 >をクリックします。
コンピューター アカウントを選択して次へ >をクリックします。
ローカル コンピューター (このコンソールを実行しているコンピューター)を選択して完了をクリックします。
証明書が追加されたことを確認して、
スナップインの追加と削除ウィンドウのOKをクリックします。
コンソール 1 - [コンソール ルート]と表示されているウィンドウの左側で、コンソール ルート > 証明書 (ローカル コンピューター)を展開します。
信頼されたルート証明機関を選択して、証明書を右クリックし、すべてのタスク > インポート...を選択します
証明書のインポート ウィザードウィンドウが表示されるので次へをクリックします。
手順2 で作成した
rootSSL.pemファイルを指定して、次へをクリックします。
証明書をすべて次のストアに配置するを選択して、信頼されたルート証明期間が証明書ストア:フィールドの値に設定されていることを確認して、次へをクリックします。
完了をクリックします。
手順 4:ローカルドメインサイトを作成する
127.0.0.1 client-1.localをC:\Windows\System32\drivers\etc\hostsファイルに追加します。# Copyright (c) 1993-2009 Microsoft Corp. # # This is a sample HOSTS file used by Microsoft TCP/IP for Windows. # # This file contains the mappings of IP addresses to host names. Each # entry should be kept on an individual line. The IP address should # be placed in the first column followed by the corresponding host name. # The IP address and the host name should be separated by at least one # space. # # Additionally, comments (such as these) may be inserted on individual # lines or following the machine name denoted by a '#' symbol. # # For example: # # 102.54.94.97 rhino.acme.com # source server # 38.25.63.10 x.acme.com # x client host # localhost name resolution is handled within DNS itself. # 127.0.0.1 localhost # ::1 localhost 127.0.0.1 client-1.local # End of section
手順 5:秘密鍵(client-1.local.key)と、新しく作ったドメイン用の認証リクエスト(client-1.local.csr)を作成する
次のコマンドを実行します。なお、下記のフィールドの値は 手順 1 で使った値と同じであるとします。
- C=CA (国)
- ST=Quebec (州)
- L=montreal (地域)
- O=Unity (組織)
- OU=Verticals (ビジネスユニット)
- CN=Tony (ユーザー名)
- emailAddress=anthonyma@unity3d.com (メールアドレス)
"C:\Program Files\OpenSSL\bin\openssl.exe" req -new -sha256 -nodes -out client-1.local.csr -newkey rsa:2048 -keyout client-1.local.key -subj "/C=CA/ST=Quebec/L=montreal/O=Unity/OU=Verticals/CN=Tony/emailAddress=anthonyma@unity3d.com"
手順 6:新しい証明書(client-1.local.crt)を発行する
次のコマンドを実行します。:
"C:\Program Files\OpenSSL\bin\openssl.exe" x509 -req -in client-1.local.csr -CA rootSSL.pem -CAkey rootSSL.key -CAcreateserial -out client-1.local.crt -days 500 -sha256 -extensions "authorityKeyIdentifier=keyid,issuer\n basicConstraints=CA:FALSE\n keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment\n subjectAltName=DNS:client-1.local"
パスワードを入力します。:
Enter pass phrase for rootSSL.key:
手順 7:webserver.exe を実行する
次のコマンドを実行します。:
.\webserver.exe -s -p 443 -k client-1.local.key -c client-1.local.crt