キーと証明書の生成
お使いのサーバ用の証明書とプライベートキーを生成する手順は、以下のとおりです。
P4SSLDIR
を安全な場所にある有効なディレクトリに設定します。P4SSLDIR
で指定するディレクトリは、保護されている必要があります。このディレクトリは、キーのペアを生成したユーザIDによって所有され、他のユーザが読み取ることができない状態になっている必要があります。-
(任意)
p4d -Gc
を実行する前に、P4SSLDIR
ディレクトリにconfig.txt
の名前でファイルを作成し、以下のようにファイルの書式を設定します。# C: Country Name - 2 letter code (default: US) C = # ST: State or Province Name - full name (default: CA) ST = # L: Locality or City Name (default: Alameda) L = # O: Organization or Company Name (default: Helix Autogen Cert) O = # OU = Organization Unit - division or unit OU = # CN: Common Name (usually the DNS name of the server) # (default: the current server's DNS name) CN = # EX: number of days from today for certificate expiration # (default: 730, e.g. 2 years) EX = # UNITS: unit multiplier for expiration (defaults to "days") # Valid values: "secs", "mins", "hours" UNITS =
-
次のコマンドで証明書とキーのペアを生成します。
p4d -Gc
P4SSLDIR
(および、必要な場合はconfig.txt
)が正しく設定されており、既存のプライベートキーまたは証明書が見つからない場合、privatekey.txt
とcertificate.txt
という2つのファイルがP4SSLDIR
に作成されます。config.txt
ファイルが存在しない場合、以下のデフォルト値が想定され、730日間(うるう年を除き2年間)で期限切れとなる証明書が作成されます。C=US ST=CA L=Alameda O=Helix Autogen Cert OU= CN=the-DNS-name-of-your-server EX=730 UNITS=days
-
ご使用のサーバのキーと証明書のペアに対してフィンガープリントを生成します。
p4d -Gf
このコマンドは、サーバのパブリックキーのフィンガープリントを表示して終了します。
Fingerprint: CA:BE:5B:77:14:1B:2E:97:F0:5F:31:6E:33:6F:0E:1A:E9:DA:EF:E2
今後のためにサーバのフィンガープリントを控えておき、帯域外の通信チャネルを介してユーザに通知します。
Helixサーバアプリケーションが異なるフィンガープリントを報告した場合(加えて新しい証明書とキーペアを最近インストールしていない場合)は、ユーザは、それが介入者による脅威の可能性を示す痕跡であると考える必要があります。
Helixサーバでは自己署名付き証明書を使用できるため、OpenSSLやPuTTYなどのサードパーティ製ツールを使用してキーペアを生成するか、独自のキーペアを提供することも可能です。 p4d -Gf
コマンドでは、ユーザが指定した資格情報が許可されます。
独自にキーを提供する場合は、P4SSLDIR
内のprivatekey.txt
ファイルとcertificate.txt
ファイルをPEM形式でエンコードし、プライベートキーファイルはパスフレーズによるプロテクションを外しておかなければなりません。
独自のキーと証明書のペアを指定するかどうか、p4d -Gc
を使用してキーと証明書のペアを生成するかどうかにかかわらず、p4d
バイナリ以外では読み取ることができない安全な場所にこれらのファイルを格納する必要があります。