Ubuntu 14.04でECC証明書を生成する

• システムの更新
• ECC秘密鍵の生成
• 証明書リクエストを生成
• 証明書を作成して署名する

楕円曲線暗号（略してECC）は、データの暗号化と復号化に使用される非対称鍵ペアです。ECCには、RSAに比べていくつかの利点があります。ECCキーはサイズが小さく、RSAと同等のセキュリティを提供します。必要なリソースを削減し、メディアアプリケーション、VPN接続、および他の多くの帯域幅アプリケーションのパフォーマンスを向上させます。この記事では、Ubuntu 14.04で自己署名EEC証明書を作成する方法を説明します。この記事は、OpenSSLがインストールされているLinuxの他の多くのディストリビューションでも動作します。

システムの更新

すべてが適切に機能するようにするには、システムを更新して、入手可能な最新かつ最も安定したソフトウェアを使用することをお勧めします。次のコマンドを実行します。

apt-get update
apt-get dist-upgrade

ECC秘密鍵の生成

prime256v1 ECC曲線を使用して秘密鍵を生成します。

openssl ecparam -out private.key -name prime256v1 -genkey

証明書リクエストを生成

次に、OpenSSLを使用して、証明書に署名するためのCSR（証明書署名要求）を生成します。512ビットSHA2でCSRを生成します。256ビット以上を使用することをお勧めします。SHA-1の使用は推奨されなくなり、まもなく廃止されます。SHA-1は、CA（認証局）でも受け入れられなくなります。

openssl req -new -key private.key -out certificate.csr -sha512

入力が必要なフィールドのリストが表示されます。ドメインを使用している場合は、Common Nameがそのドメイン名に設定されていることを確認してください。'extra' attributes空白のままにすることができます。

証明書を作成して署名する

次に、以前に作成したCSRから証明書を作成して署名します。

openssl x509 -req -days 365 -in certificate.csr -signkey private.key -out certificate.crt -sha512

エラーが発生しなければ、ECC証明書は正常に作成されています。

公共利用に関する注意

証明書を公に使用する場合、または本番環境で使用する場合は、CSRをCAに渡して、証明書を発行してもらうことをお勧めします。また、private.keyサーバー内の秘密の安全な場所に保管してください。ファイルに読み取り専用の権限があることを確認してください。キーを紛失した場合は、キーとCSRを再作成して、新しい証明書を発行する必要があります。