CA証明書のクロス署名

手順

1. 次の項目を確認してください。
   • 組織のCA証明書および対応するCA秘密鍵とそのパスフレーズがすでに存在すること
   • 組織のCA証明書の [Path Length Constraint] が [None] に設定されており、階層の下にあるCA証明書に制限が適用されないこと
   • 管理者にopensslコマンドの基礎知識があること
2. [Zero Trust Secure Access] → [Secure Access Configuration] → [Internet Access Configuration] に移動。
3. [HTTPSインスペクション] タブをクリックします。
4. 右上の [設定] の歯車アイコンをクリックします。
5. [CSRをダウンロード] をクリックしてゲートウェイの種類を選択し、対応するCSRファイルをローカルマシンにダウンロードします。
6. ローカルコンピュータにフォルダを作成し、フォルダの名前を指定します。例: CrossSignIAGCA_cloudクラウドゲートウェイの場合、 CrossSignIAGCA_onpremオンプレミスゲートウェイ用。

   注意 このセクションで作成するフォルダとファイルの名前はカスタマイズできます。

7. 新しく作成したフォルダに移動します。
8. newcertsという名前のサブフォルダを作成します。
9. certindexという名前の空のファイルを作成します。
10. ファイルを作成し、次のテキストをファイルにコピーして貼り付けて、serialfileとして保存します。

    a000

11. ダウンロードしたCSRファイルをフォルダに移動します新しい証明書に変更し、名前を次のように変更します。 iag_ca.csr :
12. ファイルを作成して、次のテキストをファイルにコピーして貼り付けて、myca.confという名前の設定ファイルとして保存します。

    [ca] default_ca = rootca [crl_ext] #issuerAltName=issuer:copy #this would copy the issuer name to altname authorityKeyIdentifier=keyid:always [rootca] new_certs_dir = newcerts unique_subject = no certificate = root.cer #Your organization's CA certificate database = certindex private_key = root.key #Your organization's CA private key serial = serialfile default_days = 3660 #Should be at least two years from the date of cross-signing default_md = sha256 #sha256 is required. policy = myca_policy x509_extensions = myca_extensions [ myca_policy ] countryName = supplied stateOrProvinceName = supplied localityName = supplied organizationName = supplied organizationalUnitName = optional commonName = supplied emailAddress = optional [ myca_extensions ] #These extensions are required. basicConstraints = CA:true subjectKeyIdentifier = hash authorityKeyIdentifier = keyid:always keyUsage = keyCertSign, cRLSign

13. 次のコマンドを実行し、CSRファイルを使用して組織のCA証明書にクロス署名します。
    openssl ca -batch -config myca.conf -notext -days 7320 -in iag_ca.csr -out iag_ca.cer
    0A.pemという名前のクロス署名された証明書が、「newcerts」フォルダに生成されます。