はじめのいっぽ  ページ一覧  更新履歴

CA.pl(1)

=pod

 
 =head1 NAME

NAME

 CA.pl - friendlier interface for OpenSSL certificate programs

CA.pl - OpenSSL証明書プログラムのわかりやすいインターフェイス

 =head1 SYNOPSIS

SYNOPSIS

 B<CA.pl>
 [B<-?>]
 [B<-h>]
 [B<-help>]
 [B<-newcert>]
 [B<-newreq>]
 [B<-newreq-nodes>]
 [B<-newca>]
 [B<-xsign>]
 [B<-sign>]
 [B<-signreq>]
 [B<-signcert>]
 [B<-verify>]
 [B<files>]
 =head1 DESCRIPTION

DESCRIPTION

 The B<CA.pl> script is a perl script that supplies the relevant command line
 arguments to the B<openssl> command for some common certificate operations.
 It is intended to simplify the process of certificate creation and management
 by the use of some simple options.

CA.pl スクリプトは、一般的な証明書発行処理の一部を実行する openssl コマンドのコマンドライン引数を与える perl スクリプトである。いくつかの単純なオプションを利用して、証明書の生成と管理を簡単にする事が目的である。

 =head1 COMMAND OPTIONS

COMMAND OPTIONS

 =over 4
 
 =item B<?>, B<-h>, B<-help>
 
 prints a usage message.

?, -h, -help

使い方を表示する。

 =item B<-newcert>
 
 creates a new self signed certificate. The private key and certificate are
 written to the file "newreq.pem".

-newcert

新規の自己署名証明書を生成する。秘密鍵と証明書は "newreq.pem" ファイルに書き出される。

 =item B<-newreq>
 
 creates a new certificate request. The private key and request are
 written to the file "newreq.pem".

-newreq

新規の証明書要求を生成する。秘密鍵と証明書要求は "newreq.pem" ファイルに書き出される。

 =item B<-newreq-nodes>
 
 is like B<-newreq> except that the private key will not be encrypted.

-newreq-nodes

-newreq と似ているが、秘密鍵が暗号化されない。 ※0.9.7fまではtypoで-newreq-nowdesと表記

 =item B<-newca>
 
 creates a new CA hierarchy for use with the B<ca> program (or the B<-signcert>
 and B<-xsign> options). The user is prompted to enter the filename of the CA
 certificates (which should also contain the private key) or by hitting ENTER
 details of the CA will be prompted for. The relevant files and directories
 are created in a directory called "demoCA" in the current directory.

-newca

ca プログラム (あるいは -signcert 及び -xsign オプション) を利用して新しい CA ヒエラルキを生成する。プロンプトが表示されたら、ユーザは (秘密鍵も含む) CA 証明書のファイル名を入力する。あるいは Enter キーのみを押下すれば CA の概要が表示される。関連ファイルやディレクトリは、カレントディレクトリの "demoCA" ディレクトリ内に生成される。

 =item B<-pkcs12>
 
 create a PKCS#12 file containing the user certificate, private key and CA
 certificate. It expects the user certificate and private key to be in the
 file "newcert.pem" and the CA certificate to be in the file demoCA/cacert.pem,
 it creates a file "newcert.p12". This command can thus be called after the
 B<-sign> option. The PKCS#12 file can be imported directly into a browser.
 If there is an additional argument on the command line it will be used as the
 "friendly name" for the certificate (which is typically displayed in the browser
 list box), otherwise the name "My Certificate" is used.

-pkcs12

ユーザ証明書と秘密鍵及びCA証明書を含む PKCS#12ファイルを生成する。ユーザ証明書と秘密鍵は "newcert.pem" ファイルに、また、CA 証明書は demoCA/cacert.pem ファイルに入っている事が前提で、生成されるファイルの名前は "newcert.p12" である。従って、このコマンドは -sign オプションの後に利用できる。PKCS#12 ファイルはブラウザから直接インポートが可能である。もしも、コマンドラインに引数が追加された場合、それは、証明書の "friendly name" として利用される。引数がなければ、"friendly name" に "My Certificate" が利用される。

 =item B<-sign>, B<-signreq>, B<-xsign>
 
 calls the B<ca> program to sign a certificate request. It expects the request
 to be in the file "newreq.pem". The new certificate is written to the file
 "newcert.pem" except in the case of the B<-xsign> option when it is written
 to standard output.

-sign, -signreq, -xsign

証明書要求に署名する為に ca プログラムを呼び出す。証明書要求のファイル名は "newreq.pem" が期待される。新しい証明書は "newcert.pem" ファイルに書き出されるが、 標準出力に出力する場合は、-xsign オプションを利用する。

 =item B<-signCA>
 
 this option is the same as the B<-signreq> option except it uses the configuration
 file section B<v3_ca> and so makes the signed request a valid CA certificate. This
 is useful when creating intermediate CA from a root CA.

-signCA

このオプションは、設定ファイルの v3_ca セクションを利用して、CA 証明書として有効になるよう、リクエストに署名する事以外は -signreq オプションと同じである。これは、ルートCAから中間CAを生成する際に有用である。

 =item B<-signcert>
 
 this option is the same as B<-sign> except it expects a self signed certificate
 to be present in the file "newreq.pem".

-signcert

このオプションは、自己署名証明書が "newreq.pem" ファイルが存在する事を期待する事を除いては -sign と同じである。

 =item B<-verify>
 
 verifies certificates against the CA certificate for "demoCA". If no certificates
 are specified on the command line it tries to verify the file "newcert.pem". 

-verify

"demoCA" の CA 証明書を利用して証明書を検証する。もしも証明書がコマンドラインで指定されなかった場合、"newcert.pem" ファイルの検証を試みる。

 =item B<files>
 
 one or more optional certificate file names for use with the B<-verify> command.

files

-verify コマンドとともに利用する、一つ以上の証明書ファイル名。

 =back
 
 =head1 EXAMPLES

EXAMPLES

 Create a CA hierarchy:
 
  CA.pl -newca

CA ヒエラルキを生成する。

CA.pl -newca

 Complete certificate creation example: create a CA, create a request, sign
 the request and finally create a PKCS#12 file containing it.

一通り証明書を生成する場合の例。CA を生成し、リクエストを生成し、リクエストに署名を行ない、最後にそれを含む PKCS#12 ファイルを生成する。

  CA.pl -newca
  CA.pl -newreq
  CA.pl -signreq
  CA.pl -pkcs12 "My Test Certificate"
 =head1 DSA CERTIFICATES

DSA CERTIFICATES

 Although the B<CA.pl> creates RSA CAs and requests it is still possible to
 use it with DSA certificates and requests using the L<req(1)|req(1)> command
 directly. The following example shows the steps that would typically be taken.

CA.pl は RSA の CA 及びリクエストを生成するが、現在でもまだ、req(1) コマンドを直接利用すれば DSA の証明書及びリクエストを利用する事が可能である。以下の例は、典型的な手順である。

 Create some DSA parameters:
 
  openssl dsaparam -out dsap.pem 1024

DSA パラメータを生成する。

openssl dsaparam -out dsap.pem 1024

 Create a DSA CA certificate and private key:
 
  openssl req -x509 -newkey dsa:dsap.pem -keyout cacert.pem -out cacert.pem

DSA CA 証明書と秘密鍵を生成する。

openssl req -x509 -newkey dsa:dsap.pem -keyout cacert.pem -out cacert.pem

 Create the CA directories and files:
 
  CA.pl -newca

CA ディレクトリ及びファイルを生成する。

CA.pl -newca

 enter cacert.pem when prompted for the CA file name.

CA ファイル名の入力を促されたら cacert.pem と入力する。

 Create a DSA certificate request and private key (a different set of parameters
 can optionally be created first):
 
  openssl req -out newreq.pem -newkey dsa:dsap.pem 

DSA証明書要求と秘密鍵を生成する(異なるパラメータセットを最初に生成させることも可能)。

openssl req -out newreq.pem -newkey dsa:dsap.pem

 Sign the request:
 
  CA.pl -signreq

リクエストに署名する。

CA.pl -signreq

 =head1 NOTES

NOTES

 Most of the filenames mentioned can be modified by editing the B<CA.pl> script.

ここに出てくるほとんどのファイル名は、CA. pl スクリプトを編集する事で変更可能である。

 If the demoCA directory already exists then the B<-newca> command will not
 overwrite it and will do nothing. This can happen if a previous call using
 the B<-newca> option terminated abnormally. To get the correct behaviour
 delete the demoCA directory if it already exists.

もしも demoCA ディレクトリがすでに存在していた場合、 -newca コマンドは上書きは行なわず、何もせずにコマンドを終了する。これは、-newca オプションを利用して、以前の呼出が異常終了したために発生する。正しく動作させるには、すでに demoCA がある場合には、これを削除する必要がある。

 Under some environments it may not be possible to run the B<CA.pl> script
 directly (for example Win32) and the default configuration file location may
 be wrong. In this case the command:
 
  perl -S CA.pl

ある種の環境の下 (Win32等) では、CA.pl スクリプトを直接動作させる事ができない。また、デフォルトの設定ファイルの場所に問題がある。このような場合には以下のコマンドが利用可能である。

perl -S CA.pl

 can be used and the B<OPENSSL_CONF> environment variable changed to point to 
 the correct path of the configuration file "openssl.cnf".

また、OPENSSL_CONF環境変数の値を、正しい "openssl.cnf" ファイルへのパスになるように変更する。

 The script is intended as a simple front end for the B<openssl> program for use
 by a beginner. Its behaviour isn't always what is wanted. For more control over the
 behaviour of the certificate commands call the B<openssl> command directly.

スクリプトは、初心者向けの openssl プログラムのシンプルなフロントエンドのつもりである。その動作は、いつでも期待した通りになるわけではない。証明書関連コマンドの動作をさらにコントロールするには、 openssl コマンドを直接呼び出す必要がある。

 =head1 ENVIRONMENT VARIABLES

ENVIRONMENT VARIABLES (環境変数)

 The variable B<OPENSSL_CONF> if defined allows an alternative configuration
 file location to be specified, it should contain the full path to the
 configuration file, not just its directory.

OPENSSL_CONF 変数が定義されていれば、設定ファイルの置き場所を一つ指定する事が可能になる。変数は、ファイルが含まれているディレクトリだけではなく、設定ファイルへのフルパスが含まれていなければならない。

 =head1 SEE ALSO

SEE ALSO

 L<x509(1)|x509(1)>, L<ca(1)|ca(1)>, L<req(1)|req(1)>, L<pkcs12(1)|pkcs12(1)>,
 L<config(5)|config(5)>

x509(1), ca(1), req(1), pkcs12(1), config(5)

 =cut
更新日時:2005/07/22 17:03:56
キーワード:
参照:[ca(1)] [はじめのいっぽ] [OpenSSL のマニュアルの翻訳] [0.9.7f→0.9.8(無印)の変更と追加]