CA証明書の検証にはサーバにルート証明書をインストール必要がある

• • 目的

ベリサインのテストSSL証明書を用いてSSL設定をするにあたり、
秘密鍵、CSR、サーバ証明書、中間CA証明書がそれぞれ整合性が取れているかの検証をする

#秘密鍵、CSR、サーバ証明書は各々のhash値を比較し、同一ならOK
openssl rsa -in 秘密鍵 -modulus -noout | openssl md5
openssl req -in CSR -modulus -noout | openssl md5
openssl x509 -in サーバ証明書 -modulus -noout | openssl md5

#サーバ証明書、中間CA証明書の検証
openssl verify -CAfile 中間CA証明書 サーバ証明書
⇒cert_file:OK

• • サーバ証明書、中間CA証明書の検証における注意点
  • ルート証明書がサーバにインストールされている必要がある

/etc/pki/tls/certs/ 配下の ca-bundle.crtやca-bundle.trust.crt に記述されていない
ルート証明書を用いて検証する場合、サーバにルート証明書のインストールが必要。
少なくともベリサインのテスト用のルート証明書は含まれていなかったはず。

#ルート証明書のインストール
#/etc/pki/tls/certs/ にルート証明書を配置して、下記コマンド実施
cd /etc/pki/tls/certs/
ln -s ルート証明書 `openssl x509 -hash -noout -in ルート証明書`.0

• • クロスルート証明書の対応

ベリサインのクロスルート中間CA証明書を使用する場合、
3階層、2階層の鍵をテキストで一つのファイルにまとめたものを中間CA証明書とする

• • 別途ブラウザにもルート証明書をインストールする必要がある

ベリサインのテストSSL証明書で接続まで実施するには、
各ブラウザにもルート証明書をインストールする必要がある