Apache + mod SSL / openssl.cnfの初期設定 / X.509v3 Basic Constraints

最近久しぶりにApache + mod SSLで使おうと、OpenSSL(0.9.8)を使って自前で証明書を作ってみたが、
自己署名したCAの証明書をWindows XP SP2 + IE 6 SP2の環境に取り込んだところ、
CAの証明書のプロパティで「証明のパスの証明機関は証明書を発行する権限がないか、この証明書をエンドエンティティ証明書として使うないとができないため、この証明書は無効です。」
と表示される模様である。
以前は、CA.sh -newcaとやるだけで問題なく利用できた覚えがあったので、ちょっと調べてみた所、
openssl.cnfでの X.509v3 Basic Constraints(基本的制約）の設定が影響している模様。
これは、OpenSSLが0.9.7から0.9.8になった時に変更になったのかなあ。

basicConstraintsは、発行する証明書がCAの証明書かどうかを識別する設定であるので、
WWWクライアントやサーバに対して証明書を発行する場合には、この値はFALSEに、逆にCAの場合はTRUEにしておく事になる模様。

ここの設定を気にせずにCA.shでCAを作ってそのまま証明書まで作ると、今回の様な問題が起こるかもしれません。