Apache/SSLサーバ

オレオレ証明書の作成手順

秘密鍵を作成(CSR を作るために)

暗号化方式は DES で、鍵長 1024 バイト。

openssl genrsa -des 1024 > key.pem

key.pem が秘密鍵。

パスフレーズを訊かれるので、入力する。

(必要に応じて)パスフレーズを削除する

SSL サーバを作るなどの際、httpd サービス起動時にパスフレーズを訊かれて困ることがある。

openssl rsa -in key.pem -out key.pem

とすれば、パスフレーズなしの秘密鍵にしてしまうことができる。

httpd-ssl.conf に、

SSLPassPhraseDialog exec:/path/to/script

を書く方法もあるが、これだと、該当スクリプトにパスフレーズを生で書くことになる。

どちらがいいかは状況によると思うが、秘密鍵そのものを chmod 400 にしてしまって、パスフレーズなしのほうが良さそうに思う。

CSR 作成

社内利用なので、10年有効なのにする。

さすがに 10 年あれば、途中で入替くらいやるだろうと。

openssl req -new -days 3650 -key key.pem -out csr.pem

この csr.pem が CSR(証明書署名要求)

途中の質問には適当に正しい答えを返していいが、Common Name は運用するサーバが持っているホスト名を書いておかないと警告がうっとうしい。ちゃんとやる。

最後の方で、秘密鍵パスフレーズも訊かれるので、答える。

CSR に対して、署名をし、証明書を作成

openssl x509 -in csr.pem -out cert.pem -req -signkey key.pem -days 3650

ここでもパスフレーズ訊かれる(上の方でパスフレーズなしにしてたら当然訊かれない)

これで、cert.pem ができる。これがサーバ証明書。

参考にしたページ ここ


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS