📢 Webサイト閉鎖と移転のお知らせ
このWebサイトは2026年9月に閉鎖いたします。
新しい記事は移転先で追加しております。(旧サイトでは記事を追加しておりません)
| 142行目: | 142行目: | ||
**: <u>自己署名証明書の場合、<code>keyid</code>が最も一般的な選択肢である。</u> | **: <u>自己署名証明書の場合、<code>keyid</code>が最も一般的な選択肢である。</u> | ||
**: <code>issuer</code>を含める場合、自己参照的な情報になる可能性がある。</u> | **: <code>issuer</code>を含める場合、自己参照的な情報になる可能性がある。</u> | ||
<br><br> | |||
== 鍵ペア (秘密鍵 / DER) の生成 == | |||
OpenSSL等を使用して、鍵ペア (秘密鍵 / DER) を生成する。<br> | |||
<br> | |||
以下の例では、自己署名証明書と対応する秘密鍵を生成する。<br> | |||
<br> | |||
このコマンドは、MOKシステムで使用するための形式と属性を持つ証明書と鍵ペアを生成する。<br> | |||
生成された.derファイルは公開鍵証明書、.privファイルは対応する秘密鍵を含む。<br> | |||
<br> | |||
特に、<code>-addext</code>オプションを指定することにより、この証明書がコード署名 (カーネルモジュールの署名等) に使用できることが明示できる。<br> | |||
これは、セキュアブート環境でモジュールを署名する場合に必要な属性である。<br> | |||
<br> | |||
以下の例では、-days 36500のように長期の有効期限を設定しているが、セキュリティの観点からは、より短い期間で定期的に更新することが推奨される場合もある。<br> | |||
<br> | |||
openssl req -x509 -new -nodes -utf8 -sha256 \ | |||
-days 36500 \ | |||
-batch \ | |||
-config <上記で作成した設定ファイルのパス> \ | |||
-outform DER \ | |||
-out <生成するDERファイルのパス> \ | |||
-keyout <生成する.privファイルのパス> \ | |||
-addext "extendedKeyUsage=codeSigning" | |||
<br> | |||
* -reqオプション | |||
*: 証明書要求 (CSR) の処理や証明書の生成を行うOpenSSLのサブコマンドである。 | |||
* -x509 | |||
*: CSRではなく、自己署名X.509証明書を直接生成することを指定する。 | |||
* -new | |||
*: 新しい証明書要求を生成する。 | |||
*: -x509オプションと組み合わせることにより、新しい自己署名証明書を生成する。 | |||
* -nodes | |||
*: 秘密鍵を暗号化せずに生成する。 | |||
* -utf8 | |||
*: 証明書のフィールドにUTF-8エンコーディングを使用する。 | |||
* -sha256 | |||
*: 証明書の署名にSHA-256ハッシュアルゴリズムを使用する。 | |||
* -days <日数> | |||
*: 証明書の有効期限を指定する。 | |||
*: 36500と指定する場合、証明書の有効期限は36500日 (約100年) となる。 | |||
* -batch | |||
*: 対話的なプロンプトを無効にして、設定ファイルから全ての情報を読み取る。 | |||
* -config <使用する設定ファイル> | |||
*: 使用する設定ファイルを指定する。 | |||
* -outform DER | |||
*: 出力形式をDER (Distinguished Encoding Rules) に設定する。 | |||
* -out <DERファイルのパス> | |||
*: 生成された証明書 (公開鍵部分) の出力先を指定する。 | |||
* -keyout <.privファイルのパス> | |||
*: 生成された秘密鍵の出力先を指定する。 | |||
* -addext "extendedKeyUsage=codeSigning" | |||
*: 証明書に拡張キー使用法を追加して、コード署名用であることを示す。 | |||
<br><br> | <br><br> | ||