Debian GNU/Linux でroot証明書を使う

認証局証明書ですか。まあ、言い方はいろいろ。
普通、サーバー用途で使うLinuxなのでroot証明書を持つ必要はさほどないんですけどね。

ちなみにroot証明書ってのは文字通り根っこの証明書。
これを持っていれば、この証明機関で発行された証明書が信頼できるわけです。
IEとかFirefoxなんかのブラウザはVerisignなんかの証明書を持っている（信頼している）から、僕らは高いお金を払ってVerisignから証明書を買うわけですね。

サーバー用途と言っても、時々はクライアントになることもあります。
たとえば、Webの認証にLDAPの情報を使う場合、LDAPクライアントになるわけですね。
こんなときにはroot証明書が必要になります。オレオレ証明書でもいいなら話は別ですが。

まあ、証明書ごときにお金を払ってはいられないので僕はCAcert.orgを利用してます。
最近、Nokiaの携帯かPDAにCAcertのroot証明書が採用されたらしく、もしかしたらほんとに流行ったらうれしいですね。
この人たち自身が言ってるように、こんなのお金を払うほどのものじゃない。

で、なんの話かというと、これまではroot証明書が必要になったらそのたびにコピーしてたわけです。
でも、最近いいものを発見しました。
ca-certificates。
そのまんまな名前です。
これをaptでインストールするとまともな証明機関のroot証明書はすべてインストールされます。まあ、なんて楽なんでしょう。
で、その中にCAcertのものももちろん含まれてます。すもももももももものうち。

ついでにc_rehashコマンドでインデックスを毎回作成する手間も省けます。
これは何かというと、証明書のインデックスを作成するコマンドです。
クライアント側で証明書ディレクトリを指定する場合にはこの作業が必須になります。僕はかつて、これでTLSをやめました。
まあ、そんな過去とももうおさらば。

IEやFirefoxの設定をよく見たらわかるように、root証明書ってのは更新作業が必要なんですね。
でも、そんなの自分でいちいち調べていられません。まさにapt向き！
これでまたひとつ自動化されました。