JP's Room

[ リロード ]   [ 新規 | 編集 | 差分 | 添付 ]   [ トップ | 一覧 | 単語検索 | 最終更新 | バックアップ | ヘルプ ]

Misc/SSL証明書 の変更点

• 追加された行はこの色です。
• 削除された行はこの色です。
• Misc/SSL証明書 へ行く。

---

#contents

SSL通信をするためのSSL証明書作成手順

*サーバー側鍵作成 [#v2ffe29b]

 $ openssl genrsa -des3 -out key.pem 1024
 $ openssl rsa -in key.pem -out key.pem
 $ openssl req -new -days 365 -key key.pem -out csr.pem

最後のコマンドラインを実行するといくつか質問されるので%%適当%%妥当な答えを入れておきます。自分だけで使うので適当に入れても問題がないということなのだと自分では思ってますが…

 Country Name (2 letter code) [AU]:JP
 State or Province Name (full name) [Some-State]:
 Locality Name (eg, city) []:
 Organization Name (eg, company) [Internet Widgits Pty Ltd]:
 Organizational Unit Name (eg, section) []:
 Common Name (eg, your name or your server's hostname) []:自分のホスト名
 Email Address []:
 
 Please enter the following 'extra' attributes
 to be sent with your certificate request
 A challenge password []:
 An optional company name []:

*独自証明機関の鍵作成 [#yd689ab8]

CA.sh は VineのインストールCDには入っていないので追加で入れる。 mod_ssl をいれる。apache に依存しているので気をつけておく。

 $ http://www.ring.gr.jp/pub/linux/Vine/Vine-3.2/i386/\
 Vine/RPMS/mod_ssl-2.8.22-0vl2.i386.rpm
 $ rpm -i mod_ssl-2.8.22-0vl2.i386.rpm

CA.sh を使ってなんか必要なものを作る

 $ cd /usr/local/apache2/ssl
 $ ./CA.sh -newca

 Country Name (2 letter code) [AU]:JP
 State or Province Name (full name) [Some-State]:
 Locality Name (eg, city) []:
 Organization Name (eg, company) [Internet Widgits Pty Ltd]:
 Organizational Unit Name (eg, section) []:
 Common Name (eg, your name or your server's hostname) []:自分のホスト名


*サーバーの鍵と独自証明機関の鍵を使って最終的に使うファイルを作成 [#l77676d5]

 $ openssl ca -in /.../csr.pem -keyfile demoCA/private/cakey.pem -cert \
 demoCA/cacert.pem -out /usr/local/apache2/cert.pem
 # cd /usr/local/apahce2/ssl
 # mkdir ssl.crt
 # mv ../cert.pem server.crt
 # mkdir ssl.key
 # cp /.../key.pem ssl.key/
 # mv server.crt ssl.crt/
 # mv ssl.key/key.pem ssl.key/server.key

上の一連の作業は

 $ cd /usr/lib/ssl/misc
 $ ./CA.sh -newca   # 独自証明機関作成
 $ ./CA.sh -newreq  # サーバのカギ作成
 $ ./CA.sh -sign    # 最終的に使うファイルを作成

だけでできるみたい。


あとは httpd.conf を設定する。

-httpd.conf

 SSLCertificateFile /usr/local/apache2/ssl/ssl.crt/server.crt
 SSLCertificateKeyFile /usr/local/apache2/ssl/ssl.key/server.key

*サーバ用秘密鍵(server.key)からのパスフレーズの削除 [#gfdf2c1e]

上記のまま、SSL起動すると起動するたびにパスフレーズの入力が必要なので秘密鍵からパスフレーズを削除する

 # cp server.key server.key.bak
 # openssl rsa -in server.key.bak -out server.key


*参考サイト [#tb407ebc]

-[[SSLによる安全なWebサイト作り（2/2）:http://www.atmarkit.co.jp/flinux/rensai/apache12/apache12b.html]]
-[[サーバ証明書の作成:http://www.aconus.com/~oyaji/www/certs.htm]]

       

Modified by JP and Everyone

PukiWiki 1.4.6 Copyright © 2001-2005 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji
Powered by PHP 5.3.29

HTML convert time to 0.009 sec.