mod_ssl

• mod_ssl の設定
  • ​mod_ssl のディレクティブ - 理系学生日記

SSL 証明書の作り方

• install openssl
• /etc/ssl/openssl.cnf /usr/lib/ssl/misc/CA.sh を適宜変更
  • [3]
• CA.sh を使った場合、カレントディレクトリに「demoCA」というディレクトリが作られる
  • 違うディレクトリ・ファイル名にする場合は、45行目前後を変更する (今回はデフォルトのまま)

    CATOP=./demoCA
    CAKEY=./cakey.pem
    CAREQ=./careq.pem
    CACERT=./cacert.pem
    

rootCA

• sudo /usr/lib/ssl/misc/CA.sh -newca

  Country Name (2 letter code) [AU]:JP
  State or Province Name (full name) [Some-State]:Ibaraki
  Locality Name (eg, city) []:Tsukuba
  Organization Name (eg, company) [Internet Widgits Pty Ltd]:Private CA for mitty.jp
  Organizational Unit Name (eg, section) []:
  Common Name (eg, YOUR name) []:Private CA for mitty.jp
  Email Address []:
  

  • ここで、「Organization Name」は後で作るサーバ証明書とは違う物にしておく
  • 「Common Name」はサーバ証明書ではサーバのFQDNだが、ルートCA証明書の場合はドメインでなくて良い
• sudo openssl x509 -inform pem -in ./demoCA/cacert.pem -outform der -out ./demoCA/cacert.der
  • ブラウザインポート用のルートCA証明書(任意)
• sudo /usr/lib/ssl/misc/CA.sh -newreq

  Country Name (2 letter code) [AU]:JP
  State or Province Name (full name) [Some-State]:Ibaraki
  Locality Name (eg, city) []:Tsukuba
  Organization Name (eg, company) [Internet Widgits Pty Ltd]:mitty.jp
  Organizational Unit Name (eg, section) []:laboratory
  Common Name (eg, YOUR name) []:lab.mitty.jp
  Email Address []:
  

  • ルートCAへ送付する、サーバ証明書リクエストファイルとサーバ秘密鍵を作成
• sudo openssl rsa -in ./newkey.pem -out ./newkey.pem
  • サーバ秘密鍵からパスフレーズの削除 (Apacheが起動する際にパスフレーズを聞かれなくてすむようにする)
• sudo /usr/lib/ssl/misc/CA.sh -sign

  Enter pass phrase for ./demoCA/private/cakey.pem:
  
  Signed certificate is in newcert.pem
  

  • ルートCAを作った際の秘密鍵のパスフレーズをtype
  • サーバ証明書がnewcert.pemとして作成される
• sudo openssl x509 -in newcert.pem -out newcert.crt
  • サーバ証明書から必要な部分だけを切り出す

• 作成物
  • ./newkey.pem サーバ秘密鍵
  • ./newcert.crt サーバ証明書
  • ./demoCA/cacert.der (作った場合)サーバ証明書に対するルートCA証明書

参考

• ​SSL用証明書の作成(Linux編)

• ​Memo of the OpenSSL
• ​Debian etchでSSL - よしだメモ
• ​Apache (Webサーバー)/Ubuntu 8.04