分散クライアント証明書および外部RootCA証明書の作成
クイックスタートのこの部分は、分散パスを使用した2つのデプロイメントの接続の項の前提条件です。
分散パス・クライアント証明書の作成
分散パス・クライアント証明書は、ソース・デプロイメント(west)の分散パスとターゲット・デプロイメント(east)の外部の信頼できるルートCA証明書(rootCA_extern)との間の接続を認証するために外部の信頼できるルートCA証明書を使用する場合に必要な追加の証明書です。そのため、分散パス・クライアント(dist_client)証明書の作成が前提条件です。セキュア・ソース・デプロイメントおよびターゲット・デプロイメント用のその他の証明書は、すでに稼働している必要があります。
ソース・デプロイメントおよびターゲット・デプロイメントの構成ファイルおよび証明書を作成するには、次のステップに従います。
-
rootCA_extern証明書を作成します:
- 次のような構成ファイルを使用して、rootCA_externを作成します:
[ req ] default_bits = 4096 default_md = sha512 prompt = no encrypt_key = no distinguished_name = req_distinguished_name req_extensions = v3_req x509_extensions = v3_ca x509_extensions = usr_cert [ req_distinguished_name ] commonName = "rootCA_extern" [ v3_req ] basicConstraints=CA:TRUE [ v3_ca ] basicConstraints=CA:TRUE [ usr_cert ] basicConstraints=CA:TRUE [ my_extensions ] EOF
-
次のコマンドを使用して、rootCA_extern証明書を作成します:
# rootCA certificate openssl req -x509 -newkey rsa:4096 -nodes \ -keyout rootCA_extern.key \ -out rootCA_extern.cert -days 73000 \ -config rootCA_extern.cfg
- 次のような構成ファイルを使用して、rootCA_externを作成します:
-
外部分散パス・クライアント(dist_client)証明書を作成します。次のようなclient_west_to_east.cfg構成ファイルを作成します:
-
次のようなclient_west_to_east.cfg構成ファイルを作成します:
[ req ] default_bits = 4096 default_md = sha512 prompt = no encrypt_key = no distinguished_name = req_distinguished_name [ req_distinguished_name ] commonName = "client-west-to-east" [ my_extensions ] EOF
-
client_west_to_east分散クライアント証明書を作成します。
openssl req -new -newkey rsa:2048 -nodes \ -keyout client_west_to_east.key \ -out client_west_to_east.csr \ -config client_west_to_east.cfg
この証明書は、ソース分散クライアント(dist_client)がターゲット・デプロイメント(東部)に接続するときに、rootCA_extern証明書によって検証されます。openssl x509 -req -days 73000 \ -in client_west_to_east.csr \ -CA rootCA_extern.cert \ -CAkey rootCA_extern.key \ -CAcreateserial \ -out client_west_to_east.cert
-