【OpenSSL / Windows】無料でS/MIMEを利用するため「オレオレ認証局」を作ってみる

Rev. 0.7 : 2025年04月13日

新規作成

Rev. 0.8 : 2026年03月26日

5章S/MIME証明書の配布　　　・・・　全面見直し
メールソフトで扱う時は、「S/MIME証明書＋中間CA証明書」を
マージしたフルチェーン証明書で扱うことを明確にした。
そのために、文章や構成を修正した。

3.1　ファイル拡張子

ルート認証局（CA）証明書やS/MIME証明書を作る際、
途中いろいろな拡張子のファイルを作成します。
混乱しやすいので、表3.1-1に整理してみました。

3.2　“openssl.cnf”設定ファイル内容の変更

OpenSSLの設定ファイル“openssl.cnf”ファイルの内容を変更する必要はあまりないと思いますが、
証明書作成条件によっては必要になってくるのかもしれません。

openssl.cnfファイルの場所は、次のコマンドで確かめることができます。

openssl.cnfファイルの設定内容については、次のページでご確認ください。
OpenSSLの設定ファイル（openssl.cnf）の使い方メモ | あぱーブログ

3.3　ルート認証局（CA）証明書の作成

ルート認証局（CA）証明書は、基本的には次の4ステップで作成します。

1. 作業用ディレクトリを作成
2. ルートCAの秘密鍵を生成
3. ルートCA証明書の証明書署名要求（CSR）を作成
4. ルートCA証明書（CRT）を自己署名で作成

3.3.1　ルートCAの作業用ディレクトリを作成

まず、ルートCA証明書作成のための作業用ディレクトリを作成します。
RHELをはじめとするLinuxでは、“/etc/pki”の下に作られることが多いように思いますが、
Windowsでは任意のディレクトリの下に作ることができます。

ルートCA作成の作業用ディレクトリを親とし、その下には次のサブディレクトリが必要です。

他にもルートCA作成の作業用ディレクトリの下に、次のファイルを用意します。

図3.3-1に、
ルートCA作成の作業用ディレクトリとS/MIME証明書を作成するディレクトリの構成例を示します。

3.3.2　ルートCAの秘密鍵を生成

下に示すように、ルートCAの秘密鍵を生成します。

PS C:\> cd C:\Local\pki
 
PS C:\> openssl genpkey -algorithm RSA -out CA\private\ca.key -pkeyopt rsa_keygen_bits:2048

サブコマンド“genpkey”のオプションの内容は、表3.3-1のようになっています。

3.3.3　ルートCA証明書の証明書署名要求（CSR）を作成

次に、ルートCA証明書のための証明書署名要求（CSR）を作成します。

PS C:\> openssl req -new -key CA\private\ca.key -out CA\certs\ca.csr
-subj “/C=JP/ST=Tokyo/L=Chiyoda-ku/O=Hoge co.ltd/CN=ca.example.com”

3.3.4　ルートCA証明書（CRT）を自己署名で作成

証明書署名要求（CSR）を使って、ルートCA証明書（CRT）を自己署名で作成します。

下に示すよう、コマンドを実行します。

PS C:\> openssl x509 -req -in CA\certs\ca.csr
-signkey CA\private\ca.key -out CA\certs\ca.crt -days 1095
-extensions v3_ca -extfile ext.txt

コマンド実行前に、“-extensions”オプションのパラメータをファイルから取り込むよう、
下に示す内容のテキストファイルを作成しておきます（本記事の例では、ファイル名を“ext.txt”）。

[v3_ca]
keyUsage=critical,cRLSign,keyCertSign
basicConstraints=critical,CA:TRUE

“basicConstraints（基本制約）“の”CA:TRUE“は、”TRUE“になっていなければなりません。
”FALSE“だと、ルートCA証明書として機能しないようです。

3.3.5　ルートCA証明書（CRT）の確認

作成されたルートCA証明書（CRT）は、図3.3-2に示すように確認することができます。

4.1　S/MIME証明書署名要求（CSR）を作成

まず、S/MIME証明書を発行するために、証明書署名要求（CSR）を生成します。
以下のコマンドを使用します。

このコマンドを実行すると、次の2つのファイルが作成されます。

1. S/MIME証明書の秘密鍵（例では、“somebody@example.com.key”）
2. S/MIME証明書の証明書署名要求（CSR）（例では、“somebody@example.com.csr”）

証明書署名要求（CSR）の作成時に、
いくつかの情報（国名、組織名、CN（共通）名など）を入力する必要があります。

CN名には、S/MIMEを利用するメールアドレスを指定します。
emailAddressにも、メールアドレスを指定します。
CN名とemailAddressは、同じメールアドレスでなければなりません。

4.2　ルートCA証明書を使ってCSRに署名してS/MIME証明書（CRT）を作成

次に、ルートCAを使用してCSRに署名します。

以下に示すようコマンドを使用して、CSRに署名しS/MIME証明書を生成します。

4.3　S/MIME証明書の確認

作成されたS/MIME証明書（CRT）は、図4.3-1に示すように確認することができます。

5.1　自分用フルチェーン証明書の作成

自分のOutlookやThunderbirdが取り込むS/MIME証明書は、一般的に PKCS#12形式
（“.pfx”、または“.p12）の秘密鍵含んだをフルチェーンの形式のファイルです。

このファイルは、秘密鍵を含んでいますので、当然他者に配布してはなりません。

下に示すコマンドで、S/MIME証明書と中間CA証明書のCRT形式のファイルを、
まとめてフルチェーンのPKCS#12形式に変換します。

下に3.3.1項に示す作業ディレクトリ環境下でのフルチェーン証明書を作成する例を示します。

5.2 暗号化メールを送受信するためのフルチェーン証明書の配布

自分宛に暗号化メールを送ってもらうためには、送信相手に自分の公開鍵を含んだS/MIME証明書を、
送信相手のメールソフトに取り込んでもらわなければなりません。

逆に、暗号化メールを送るには、送信相手のS/MIME証明書が必要です。

自分のフルチェーン証明書を渡すには、一般的には下に示すようなアプローチがあります。

ⅱ)、ⅲ)の配布用のS/MIME証明書は、
次のように「サーバー証明書 → 中間CA証明書」の順に結合して フルチェーン証明書とします。

【フルチェーン証明書作成例】

5.3　OutlookやThunderbirdにS/MIME証明書を取り込む

自分用の“.p12”のフルチェーン証明書、
暗号化メール交換相手の“.pem”のフルチェーン証明書とも、メールソフトでの取り込み方法は、
全く同じです。

5.3.1　Outlookでの証明書の取り込み

わたしの場合、複数のメールアカウントがあって、
多くのアカウントでは OpenPGP を利用しています。
OpenPGPと両立して使用したいので、
Gpg4win の鍵管理ツールKleopatraに取り込ませることにしました。

Outlook直に取り込ませる場合は、次のページを参照いただければと思います。
[クライアント証明書]Outlookで自身のクライアント証明書を設定する方法
| GlobalSign by GMO

図5.3-1に示す Gpg4win / Kleopatraの画面において、
S/MIME証明書、ルートCA証明書とも 画面上のメニュー“インポート”で取り込むことができます。

作成したS/MIME証明書に問題がなければ、
該当するメールアドレスの証明書の「信頼レベル」が「完全」となります。

「完全」と表示されなければ、S/MIME証明書作成に何か問題があったことを示しています。
再度作り直してください。

5.3.2　Thunderbirdへの証明書の配布

対象アカウントの次のページを開きます。

対象アカウント右クリック⇒「設定」⇒「エンドツーエンド暗号化」

まず、図5.3-3で示す画面の「S/MIME証明書の管理(M)」で、
フルチェーンのS/MIME証明書とルートCA証明書を取り込みます。

以降の詳しい操作については、次のページをご覧ください。
S/MIME推進協議会 / Thunderbirdの設定

5.4　S/MIMEによるデジタル署名の適用例

S/MIMEで署名されたメールの受信例を、 図5.4-1にOutlookの場合、 図5.4-2にThunderbirdの場合を示します。