Beken

[準備]

</System/Library/OpenSSL/misc/CA.sh>

以下の箇所を編集

DAYS = "-days 7305"          #証明書の有効期限20年
CADAYS="-days 7305"          #自己認証局の有効期限20年（追加）
CATOP = /etc/ssl/CA          #ルート証明書等の保管場所

</System/Library/OpenSSL/openssl.cnf>

以下の箇所を編集

dir = /etc/ssl/CA          #証明書等の保管場所
default_days = 7305          #証明書の有効期限20年
countryName_default = JP          #国名
stateOrProvinceName_default = （県名）
localityName_default = （市名、追加）
0.organizationName_default = （会社名）
1.organizationName_default = （部署名）
organizationalUnitName_default = （課名）
emailAddress_default = （管理者のメールアドレス）

[ルート証明書の作成]
自己認証局のルート証明書の作成には、先に設定ファイル（openssl.cnf）にデフォルト値を入力した設定以外に自己認証局の固有名（Common Name）とPEMパスフレーズが必要になる。自己認証局の固有名は「Monkey Certificate Authority」のような感じ、パスフレーズは記号も含めた半角文字の組み合わせで適当なものを考えておく。

先に編集したスクリプトファイル（CA.sh）を実行し、ルート証明書を作成する。

$ sudo /System/Library/OpenSSL/misc/CA.sh -newca

ルート証明書の秘密鍵（cakey.pem）のパーミッションを変更しておく。

$ sudo chmod 600 /etc/ssl/CA/private/cakey.pem
$ sudo chmod 700 /etc/ssl/CA/private

使い分けなどよく分からないが、ルート証明書をx509形式およびDER形式に変換しておく。

sudo openssl x509 -in /etc/ssl/CA/cacert.pem -out /etc/ssl/CA/cacert.crt
sudo openssl x509 -inform pem -in /etc/ssl/CA/cacert.pem -outform der -out /etc/ssl/CA/cacert.der