Certificates(証明書）

1
    CA  　送<---証 明書のリクエスト、会社のidentitiy,費用----  secure server 構築
                        -------------------------証明書を送り返す-------->
2    これに加えて自己証明書を作ることもできる。

HTTPSの例では
    CAで署名した証明書は自己証明書に無い2つの能力がある。
        BROWSERSは自動的に証明書を認識してUSERの入力無しに安全な接続する。
        CAが署名された証明書を編集するときウェブページをだす機関の同一性を保証する。
    殆どのweb browsers(とコンピュータ）ではCAのリスト(自動的に受け入れる）がある。リストに無い証明書に出くわしたらユーザーに受け入れるか質問する。 また自己署名証明書を使うとき他のアプリケーションではエラーメッセージを出すかもしれない。

CAから証明書を得る場合
1) private&public key pairを作る。
2) public key をベースに証明書のリクエスト(要求）を作る。証明書リクエストはyourサーバーとそのホストの会社の情報を含む。
3) 証明書要求をCAに送る。(どのCAかは勝手）
4) CAが納得したらdigital certificate を送ってくる。
5)　この証明書をyour secure server にインストールして適切な設定を行う。

CAから証明書を得るか、自己証明書を得るかいずれにしても最初はKEYを生ずるこ と。
CSRのためのKEYを作るコマンドは

openssl genrsa -des3 -out server.key 1024

Generating RSA private key, 1024bit long modes
----------------------------
--------------------------
unable to write 'random state'
e is 65537 (0x 100001)
enter pass phrase for server.key    ＊＊＊＊＊

8文字以上のパスフレーズが望ましい。

＝＞server Key は server.key file に貯蔵される。（lsで出る）

openssl rsa -in server.key -out server.key.insecure
で　(-des3 switchなし） パスフレーズなしでもできる。（insecure keyはserver.key.insecureに貯蔵される。）

CSRをつくるには
openssl req -new -key server.key -out server.csr(リクエスト）

パスフレーズを入力等してCSRはserver.csr file中 に貯蔵される。

このこのCSRファイルをCAに送る。CAはこれを使って証明書を発行す る。
他方CSRを用いて自己署名certificateを作ることもできる。

openssl x509 -req -dqys 365 -in server.csr -signkey -out server.crt

==>passphrase?
==> certificateが作られ　server.crt fileに 貯蔵される。

key file:server.key, certificate file: server.crtのインストールは
sudo cp server.crt /etc/ssl/certs
sudo cp server.key /etc/ssl/private
そしてpublic-key 使用能力ある、certificate and keyfile使用できるアプリケーションを設定するだけとなる(apacheはHTTPS）。