HOME / コンピュータTips / Solaris / Apache / Apacheのインストール / SSL証明書のインストール

Date: 2015/01/25 |  このエントリーをはてなブックマークに追加  |  Tags: Solaris11, Apache, SSL

SSL証明書をインストールする

SSL証明書の証明局からSSL証明書を購入することにより、SSLを利用することもできます。

SSLの設定

sudo cp /etc/apache2/2.2/samples-conf.d/ssl.conf /etc/apache2/2.2/conf.d/

/etc/apache2/2.2/conf.d/ssl.confの必要な箇所を変更する。最低限、ServerNameServerAdminの編集は必須。

server.keyをつくります。ここで求められるパスワードはすぐに解除してしまうため、適当な物で結構です。

cd /etc/apache2/2.2

以後、/etc/apache2/2.2ディレクトリでの作業となります。

openssl genrsa -out server.key 2048
Generating RSA private key, 2048 bit long modulus
............................................................................................................................................................................+++
.................................................................+++
e is 65537 (0x10001)
Enter pass phrase for /etc/apache2/teracloud.local0.key:
Verifying - Enter pass phrase for /etc/apache2/teracloud.local0.key:

server.keyのパスワードを外します。

openssl rsa -in server.key -out server.key

csrを作成します。できあがったserver.csrは、SSLの証明局(CA)への申請に必要となります。

openssl req -new -out server.csr -key server.key

多くの証明局は、ここで入力する情報を追って必要とします。

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) []:(JP等を入力)
State or Province Name (full name) []:(県名をアルファベットで入力)
Locality Name (eg, city) []:(市名をアルファベットで入力)
Organization Name (eg, company) []:(会社名をアルファベットで入力)
Organizational Unit Name (eg, section) []:(部署名をアルファベットで入力)
Common Name (eg, YOUR name) []:(サーバの名前をアルファベットで入力。この名前がSSLで利用される名前です。もちろんこの名前で、このサーバに対してIPリーチャブルである必要があります)
Email Address []:(必要ならば入力)
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:(未入力)
An optional company name []:(未入力)

これでserver.csrができあがります。

次のアクションは下記の通りです

  1. server.csrを証明局に送り、証明書を発効してもらいます。
    • 証明局によりルールがことなりますので、証明局の指示を仰いでください。
  2. 数日後、発効された証明書をserver.crtという名前で保存する。
    • ディレクトリは、同じく、/etc/apache2/2.2です。
  3. apache22をrestart、あるいは、disable → enableすることで、証明書が反映されます。
  4. ブラウザでhttps://(あなたが申請した名前:Common Name)/にアクセスし、購入した証明書で正しいか確認してください。

自力で署名する場合

公的な証明局による署名がされていないため、SSLによるセキュリティを担保することはできないことをご注意ください。

openssl x509 -in server.csr -days 365 -req -signkey server.key -out server.crt

できたserver.crtを所定の場所に設置し、Apacheを再起動します。