Deep Discovery Email Inspectorの証明書に署名する 親トピック

証明書の署名はオプションです。システムのすべての証明書を配布せず、CA証明書のみを配布する場合は、証明書に署名する必要があります。Deep Discovery Email Inspector証明書がCAにより信頼されていることを確認するには、CA秘密鍵 (/tmp/root_key.pem) によってDeep Discovery Email Inspectorの認証要求に署名する必要がありますが、これを実行する前にCAのOpenSSL環境を設定する必要があります。

手順

  1. OpenSSL設定ファイルの/etc/pki/tls/openssl.cnfをアップデートします。
    [ CA_default ]/ dirパラメータの定義を見つけて、/etc/pki/CAに変更します。
    [ CA_default ]
    dir = /etc/pki/CA # Where everything is kept
  2. /etc/pki/CAディレクトリに空のindex.txtファイルを作成します。
    # touch /etc/pki/CA/index.txt
  3. /etc/pki/CAディレクトリに、初期の内容を記述したシリアルファイルを作成します。
    # echo "01" > /etc/pki/CA/serial
  4. 証明書に署名します。
    #openssl ca -days 365 -cert /tmp/root_req.pem -keyfile /tmp/root_key.pem -in /tmp/ddei_req.pem -out /tmp/ddei_cert.pem -outdir /tmp
    Using configuration from /etc/pki/tls/openssl.cnf
    Enter pass phrase for /tmp/root_key.pem:Trend
    Check that the request matches the signature
    Signature ok
    Certificate Details:
    Serial Number: 1 (0x1)
    Validity
    Not Before: Oct 22 09:35:52 2010 GMT
    Not After : Oct 22 09:35:52 2011 GMT
    Subject:
    countryName = DE
    stateOrProvinceName = Bavaria
    organizationName = トレンドマイクロ
    organizationalUnitName = Global Training
    commonName = ddei.course.test
    X509v3 extensions:
    X509v3 Basic Constraints:
    CA:FALSE
    Netscape Comment:
    X509v3 Subject Key Identifier:
    82:15:B8:84:9C:40:8C:AB:33:EE:A4:BA:9C:2E:F6:7E:C0:DC:E8:1C X509v3
    Authority Key Identifier:
    keyid:5B:B4:06:4D:8D:12:D0:B3:36:A7:6B:3A:FD:F2:C8:83:4A:DD:AA: BD
    Certificate is to be certified until Oct 22 09:35:52 2011 GMT (365 days)
    Sign the certificate? [y/n]:y
    1 out of 1 certificate requests certified, commit? [y/n]y
    Write out database with 1 new entries
    Data Base Updated
    #
    このファイルには、CAによって署名されたDeep Discovery Email Inspector証明書が追加されています。このファイルは、Deep Discovery Email Inspectorと通信するすべてのサーバとクライアントに配布する必要があります。