private サブディレクトリに、ルート CA 証明書およびそれに対応するプライベート キーが格納されています。
証明書は、ブラウザーなどの通信するエンティティによって必要な形式が異なることがあるため、複数の形式のものが用意されています。.pem ファイルには、PEM という形式が含まれています。これは、バイナリ文字列を各バイトのビット パターンが ASCII 文字と一致するように変更することで、文字列をテキストとして印刷および表示できるようにする方法です。.cer ファイルには、DER というプレーン テキストでない形式が含まれています。
private サブディレクトリに用意されているファイルは次のとおりです。
..\openssl x509 -in carootcert.pem -text
これにより、最初に人間が読める形式の証明書が表示され、その後に BEGIN CERTIFICATE および END CERTIFICATE の行の間に機械可読形式の証明書が表示されます。これは、パブリック キーが RSA アルゴリズムを使用して生成されたものであり、1024 ビット長であることを示しています。シグネチャは、MD5 ハッシュ アルゴリズムおよび RSA 暗号化アルゴリズムを使用して作成されています。これは自己署名証明書であるため、ルート CA の証明書と同じように、発行元および発行先が同じになることに注意してください。
..\openssl x509 -in carootcert.cer -text -inform DER
この証明書の PEM および DER のバージョンを x509 の出力で比較すると、それらの内容が同じであることがわかります。ただし、DER はテキスト エディターでは表示できません。
CAKey.pem ファイルおよび srvkey.pem ファイルは同じパスワード「srvrootpwd」でインストールされています。推奨事項については、「デモンストレーション CA は実際の CA か」を参照してください。
この private フォルダーの内容については、取り扱いに十分に注意してください。これらは、CA を操作するために必要なパブリック キーとプライベート キーのペアです。変更したりなくしたりしないようにしてください。プライベート キーを知られてしまうと、誰かになりすまされてしまう危険があります。本番環境では、これらのファイルを読み取り専用にしたり、安全な場所にバックアップを保管するなど、必要な予防措置を講じるようにしてください。