無料のSSL証明書を発行するCAcertという団体があるので、試してみる。でも、無料と言っても、結局は、CAcertがブラウザに登録されていないので、自前で作った証明書とたいして変わらん気がするけど・・・。まぁ、そんな感じで、とりあえず、試す。まず、サーバ用の秘密キーを作る。ちなみに、CentOS4で試しました。
# cd /usr/share/ssl/certs/ # make server.key umask 77 ; \ /usr/bin/openssl genrsa -des3 1024 > server.key Generating RSA private key, 1024 bit long modulus ................++++++ ...................................++++++ e is 65537 (0x10001) Enter pass phrase: <=== パスワード Verifying - Enter pass phrase: <=== パスワード # openssl rsa -in server.key -out server.key Enter pass phrase for server.key: writing RSA key
まぁ、これはいつも通りかね。次に、サーバ証明書の要求(csr)ファイルを作る。
# make server.csr
umask 77 ; \
/usr/bin/openssl req -new -key server.key -out server.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
信頼性の確保の方法が普通のCAとは違うようですから,無理でしょうねぇ.