ども。こんばんは。
家の中のいろんな証明書が失効してまして。
ちょっと勉強がてら更新です。
今回の方針としては・・・
・Active Directory証明機関で署名する
ということにしています。
※どうせオレオレ証明書なので、ドメインに参加しているPCはCAの証明書をインポートしているので。
んで、CSRをopensslで作ったのですが、証明書テンプレートの情報がないらしく、証明機関で署名出来ない。。。
諦めてIISで作ります。
今回はドメイン全体の証明書が欲しかったので、IISでドメイン証明書を作成。
どういう設定か忘れてしまいましたが、自動で証明機関が署名してくれました。
これをpfxでエクスポート。
この状態だとちょっと使いにくいので。。。
まずはpfxを変換
openssl pkcs12 -in cert.pfx -out cert.txt
中身をキーと証明書に分けて保存。(テキストエディタとかで)
Apacheとかでも使うので、パスフレーズを外す
openssl rsa -in localhost.key -out localhost.key
こんな感じですかね。
今回更新したのは
・Apache
・Dovecot
・FortiGate
です。ApacheやDovecotはさほどでも無いですね。
FortiGateはpfxでも対応していたみたいです。。今回はせっかくばらしたので、certとkeyをそれぞれインポート。
管理画面とSSL-VPN用に当てました。
管理画面はCLIで。
config system global
set admin-server-cert “インポートした証明書”
そんな感じ。
■おまけ
ついでにFortiGateのSSLインスペクション用のCA証明書をADで配布するようにしました。
まずはFortiGateの管理画面から「Fortinet_SSLProxy」をダウンロード。
ADでグループポリシーの管理で、
「コンピュータの構成->ポリシー->Windowsの設定->セキュリティの設定->公開キーのポリシー->信頼されたルート証明機関」
にインポート。
んでまぁ適当にgpupdateしておく。
こんな感じです。多分正しいFortiGateでのSSL復号化(SSL Inspection)の使い方・・・だと思いたい。
ではでは。またの機会に。