- 追加された行はこの色です。
- 削除された行はこの色です。
#contents
SSL通信をするためのSSL証明書作成手順
*サーバー側鍵作成 [#v2ffe29b]
$ openssl genrsa -des3 -out key.pem 1024
$ openssl rsa -in key.pem -out key.pem
$ openssl req -new -days 365 -key key.pem -out csr.pem
最後のコマンドラインを実行するといくつか質問されるので%%適当%%妥当な答えを入れておきます。自分だけで使うので適当に入れても問題がないということなのだと自分では思ってますが…
Country Name (2 letter code) [AU]:JP
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:自分のホスト名
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
*独自証明機関の鍵作成 [#yd689ab8]
CA.sh は VineのインストールCDには入っていないので追加で入れる。 mod_ssl をいれる。apache に依存しているので気をつけておく。
$ http://www.ring.gr.jp/pub/linux/Vine/Vine-3.2/i386/\
Vine/RPMS/mod_ssl-2.8.22-0vl2.i386.rpm
$ rpm -i mod_ssl-2.8.22-0vl2.i386.rpm
CA.sh を使ってなんか必要なものを作る
$ cd /usr/local/apache2/ssl
$ ./CA.sh -newca
Country Name (2 letter code) [AU]:JP
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:自分のホスト名
*サーバーの鍵と独自証明機関の鍵を使って最終的に使うファイルを作成 [#l77676d5]
$ openssl ca -in /.../csr.pem -keyfile demoCA/private/cakey.pem -cert \
demoCA/cacert.pem -out /usr/local/apache2/cert.pem
# cd /usr/local/apahce2/ssl
# mkdir ssl.crt
# mv ../cert.pem server.crt
# mkdir ssl.key
# cp /.../key.pem ssl.key/
# mv server.crt ssl.crt/
# mv ssl.key/key.pem ssl.key/server.key
上の一連の作業は
$ cd /usr/lib/ssl/misc
$ ./CA.sh -newca # 独自証明機関作成
$ ./CA.sh -newreq # サーバのカギ作成
$ ./CA.sh -sign # 最終的に使うファイルを作成
だけでできるみたい。
あとは httpd.conf を設定する。
-httpd.conf
SSLCertificateFile /usr/local/apache2/ssl/ssl.crt/server.crt
SSLCertificateKeyFile /usr/local/apache2/ssl/ssl.key/server.key
*サーバ用秘密鍵(server.key)からのパスフレーズの削除 [#gfdf2c1e]
上記のまま、SSL起動すると起動するたびにパスフレーズの入力が必要なので秘密鍵からパスフレーズを削除する
# cp server.key server.key.bak
# openssl rsa -in server.key.bak -out server.key
*参考サイト [#tb407ebc]
-[[SSLによる安全なWebサイト作り(2/2):http://www.atmarkit.co.jp/flinux/rensai/apache12/apache12b.html]]
-[[サーバ証明書の作成:http://www.aconus.com/~oyaji/www/certs.htm]]