認証局のことをCA(Certification Authority)という。 CAは、下位CAおよびCAのユーザーに対し、Certificate(電子証明書)を発行できる。 Certificateを発行するには、CSR(Certificate request)が必要。Certificate requestに署名することでCertificateが発行される。 CertificateはX.509形式であることが多い。

CAが署名を行うためには、CAの秘密鍵が必要。

CSR

CAに証明書を発行してもらうために必要な情報を書いたファイル。

ユーザーが証明書を作る手順

• 自分用の秘密鍵と公開鍵がなければ用意する。
• CSRを生成する
• CSRをCAに送る
• CAが署名し、証明書ができる。

調べてみる

openssl req -new -x509 -keyout imapd.pem -out imapd.pem -days 365
 -new 新しいcertificate requestを作る。
 -x509 certificate requestの代わりにself signed certificateを生成する。
 -days 365 certificateの有効期間を365日にする。
 -keyout imapd.pem  private keyの出力先ファイル名
 -out imapd.pem 出力ファイル名