2.9. GnuTLS を使用した TLS クライアント証明書の秘密鍵と CSR の作成

手順

1. 次の例のように、クライアントシステムで秘密鍵を生成します。

   $ certtool --generate-privkey --sec-param High --outfile <example_client.key>

   Copy to Clipboard Toggle word wrap

2. オプション: 次の例のように、選択したテキストエディターを使用して、CSR の作成を簡素化する設定ファイルを準備します。

   $ vim <example_client.cnf>
   signing_key
   encryption_key
   
   tls_www_client
   
   cn = "client.example.com"
   email = "client@example.com"

   Copy to Clipboard Toggle word wrap

3. 前に作成した秘密鍵を使用して CSR を作成します。

   $ certtool --generate-request --template <example_client.cfg> --load-privkey <example_client.key> --outfile <example_client.crq>

   Copy to Clipboard Toggle word wrap

   --template オプションを省略すると、certtool ユーティリティーは次のような追加情報の入力を求めます。

   Generating a PKCS #10 certificate request...
   Country name (2 chars): <US>
   State or province name: <Washington>
   Locality name: <Seattle>
   Organization name: <Example Organization>
   Organizational unit name:
   Common name: <server.example.com>

   Copy to Clipboard Toggle word wrap

検証

1. 次の例のように、証明書の中で人間が判読できる部分が要件と一致することを確認します。

   $ certtool --certificate-info --infile <example_client.crt>
   Certificate:
   …
               X509v3 Extended Key Usage:
                   TLS Web Client Authentication
               X509v3 Subject Alternative Name:
                   email:client@example.com
   …

   Copy to Clipboard Toggle word wrap