自己署名 TLS 証明書の作成

サード パーティの証明機関 (CA) からデジタル証明書を購入したくはない場合や、今すぐデジタル署名を使用したい場合には、独自の自己署名証明書を作成することができます。

  自己署名証明書を実稼働環境で使用することは推奨されていません。

作業の準備

作業の手順と詳細については、「 TLS プライベート キーと CSR の作成」を参照してください。

この作業が完成すると、Email Gateway の /root ディレクトリに 次の 2 つのファイルが作成されます。

ファイル名 説明
emailgateway.key プライベート キーです。
emailgateway.csr 証明書署名要求 (CSR) です。

証明書に自己署名

  1. Email Gateway に接続します。

    1. Red Hat Cockpit にログインします。
    2. [Terminal] (端末) メニューを選択します。
    3. sudo su コマンドを入力して、ルート権限のあるユーザーとしてログインします。

  2. Email Gateway で証明機関 (CA) を作成します。
    1. # プロンプトに次のコマンドを入力して、サブディレクトリ /tmp/CA を作成します。

      mkdir /tmp/CA

    2. 次のコマンドを入力して、/tmp/CA サブディレクトリに切り替えます。

      cd /tmp/CA

    3. OpenSSL ユーティリティを使用して、CA のプライベート キーを作成します。

      openssl genrsa -out CA.key 4096

    4. CA の署名証明書を作成します。

      openssl req -new -key CA.key -x509 -days 1095 -out CA.crt -sha256

      このコマンドは、署名証明書の、次の X.509 属性のプロンプトを表示します。

    5. 現在のディレクトリ内のファイルを一覧表示して (ls と入力)、署名証明書 (CA.crt) ファイルと CA プライベート キー (CA.key) ファイルが /tmp/CA ディレクトリにあることを確認します。

      これらのファイルがある場合、Email Gateway で CA が適切に作成されたことになります。

  3. TLS 証明書に自己署名

    この時点で、Email Gateway の CA を使用して TLS 証明書に自己署名し、前の手順で作成した TLS 証明書署名要求 (CSR) を承認できるようになります。

    1. 次のコマンドを使用して、CSR ファイル emailgateway.csr を /tmp/CA ディレクトリにコピーします。

      cp /root/emailgateway.csr

    2. ls と入力して、CSR ファイル emailgateway.csr が /tmp/CA ディレクトリにあることを確認します。
    3. TLS 証明書署名要求 (CSR) を承認します。

      openssl x509 -req -days 365 -in emailgateway.csr -CA CA.crt -CAkey CA.key -CAcreateserial -out emailgateway.crt

    4. 現在のディレクトリ内のファイルを一覧表示して (ls と入力)、署名された証明書ファイル emailgateway.crt が /tmp/CA ディレクトリにあることを確認します。

作業が完了したら

ここまでで、次の 3 つの TLS 証明書とプライベート キー ファイルが作成されました。Web インターフェイスを使用して、これらのファイルを Email Gateway にインポートすることができます。

ファイル名 説明 ディレクトリ
emailgateway.key プライベート キーです。 /root
emailgateway.crt 自己署名された TLS 証明書です。 /tmp/CA
CA.crt Email Gateway の CA の署名証明書です。 /tmp/CA

自己署名証明書の設定が完了したら、logout と 2 回入力してログアウトします。これにより、Red Hat Cockpit の [Terminal] (端末) メニューに戻ります。Exit を入力して終了します。

参照...