ども。こんばんは。

家の中のいろんな証明書が失効してまして。

ちょっと勉強がてら更新です。

今回の方針としては・・・

・Active Directory証明機関で署名する

ということにしています。
※どうせオレオレ証明書なので、ドメインに参加しているPCはCAの証明書をインポートしているので。

んで、CSRをopensslで作ったのですが、証明書テンプレートの情報がないらしく、証明機関で署名出来ない。。。

諦めてIISで作ります。

今回はドメイン全体の証明書が欲しかったので、IISでドメイン証明書を作成。
どういう設定か忘れてしまいましたが、自動で証明機関が署名してくれました。

これをpfxでエクスポート。

この状態だとちょっと使いにくいので。。。

まずはpfxを変換

openssl pkcs12 -in cert.pfx -out cert.txt

中身をキーと証明書に分けて保存。(テキストエディタとかで)

Apacheとかでも使うので、パスフレーズを外す

openssl rsa -in localhost.key -out localhost.key

こんな感じですかね。

今回更新したのは

・Apache
・Dovecot
・FortiGate

です。ApacheやDovecotはさほどでも無いですね。

FortiGateはpfxでも対応していたみたいです。。今回はせっかくばらしたので、certとkeyをそれぞれインポート。
管理画面とSSL-VPN用に当てました。

管理画面はCLIで。

config system global
set admin-server-cert “インポートした証明書”

そんな感じ。

■おまけ

ついでにFortiGateのSSLインスペクション用のCA証明書をADで配布するようにしました。

まずはFortiGateの管理画面から「Fortinet_SSLProxy」をダウンロード。

ADでグループポリシーの管理で、
「コンピュータの構成->ポリシー->Windowsの設定->セキュリティの設定->公開キーのポリシー->信頼されたルート証明機関」
にインポート。

んでまぁ適当にgpupdateしておく。

こんな感じです。多分正しいFortiGateでのSSL復号化(SSL Inspection)の使い方・・・だと思いたい。

ではでは。またの機会に。