制約事項: 本トピックは、Enterprise Server 機能が有効な場合にのみ該当します。
OpenSSL 構成ファイルは、次のような項目に対して SSL のデフォルトを提供します。
- 証明書ファイルの場所。
- ユーザーの識別名 (DN)。これは、ユーザーのサイトの詳細 (ユーザーの共通名、市区町村など) で構成されます。最初は、インストール時に入力した詳細で構成されます。
- 識別名のどの要素が必要かを指定する openssl ca policy コマンドのデフォルト。
構成ファイルはデフォルトで openssl.cnf と呼ばれ、デフォルトで openssl.exe と同じディレクトリに属します。OPENSSL_CONF 環境変数を使用して別の構成ファイルを指定することも、1 つの構成ファイル内で代替構成を指定することもできます。
構成ファイルはテキスト ファイルで、次のようないくつかのセクションで構成されています。
- CA を構成する ca セクション。それぞれ異なる CA の異なる構成を指定する複数の ca セクションを作成して、default_ca オプションを変更することでそれらを切り替えられます。また、-name パラメーターを使用してこの選択をコマンド ラインからオーバーライドすることもできます。これにより、さまざまな構成を試すことができるため、開発およびテストに役立ちます。
- policy セクション。2 つの証明書が一致するとみなされるためには、SSL ソフトウェアに提示された証明書の識別名が、インストールされた証明書の識別名とどの程度一致する必要があるかを指定します。
- req セクション。openssl req コマンドを構成します。
- distinguished_name セクション。openssl req コマンドで証明書要求または自己署名証明書を作成する際に必要な識別名フィールドを指定します。このセクションの実際の名前は、req セクションの distinguished_name エントリで指定されます。そのため、req
セクションのエントリを変更することによって、distinguished_name 構成を切り替えられます。
- attributes。challengePassword や unstructuredName などの属性があります。distinguished_name セクションと同様に、attributes セクションの実際の名前は req セクションで指定されるため、複数の
attributes セクションを作成して、それらを切り替えられます。
構成ファイルのオプションでは、すべてのファイル名に絶対パスを指定する必要があります。
詳細については、MKS Software サイトの「OpenSSL CA function」の「Configuration File」のセクションを参照してください。
OpenSSL ユーティリティから、「WARNING: can't open config file: /usr/local/ssl/openssl.cnf」というような警告メッセージが返された場合は、環境変数 OPENSSL_CONF を適切な openssl.cnf ファイルの場所に設定します。このファイルは Micro Focus DemoCA にも含まれています。DemoCA インストールのメイン ディレクトリにあります。次に例を示します。
Windows:
set OPENSSL_CONF=C:\Program Files (x86)\Micro Focus\DemoCA\openssl.cnf
UNIX:
export OPENSSL_CONF=/opt/microfocus/DemoCA/openssl.cnf
注: このメッセージは警告に過ぎません。openssl コマンドは依然として、要求した機能を実行する可能性があります。openssl.cnf ファイルは主に、CA 機能のデフォルト値、新しいキー ペアを生成するためのキー サイズ、および同様の構成を設定するために使用されます。詳細については、openssl.org にある OpenSSL のドキュメントを参照してください。
OpenSSL CA function openssl.org