読者です 読者をやめる 読者になる 読者になる

炊きたてのご飯が食べたい

定時に帰れるっていいね。自宅勤務できるっていいね。子どもと炊きたてのご飯が食べられる。アクトインディでは積極的にエンジニアを募集中です。

はじめてのベリサイン SSL(証明書)の設定手順

サーバー構築

-----------------------------------
①事前準備
CSRの発行
ベリサインの申請
④サーバにSSL証明書の設置
Apacheの再起動
Apacheの再起動時のパスフレーズ入力をスキップ
⑦問題が起きたときの切り戻し
-----------------------------------
①事前準備
Apacheのバージョンを調べる

httpd-2.2.3-22.el5.centos.2

ApacheSSLを調べる

mod_ssl-2.2.3-22.el5.centos.2

ssl.confのバックアップ
ファイルパス:/etc/httpd/conf.d/ssl.conf

cp ssl.conf ssl.conf.bak

・ディスティングイッシュネーム情報を決める

【Country (国名)】
JP
【State(都道府県名)】
Tokyo
【Locality(市区町村名)】
Minato-ku
【Organizational Name(組織名)】
Blog Taro CO.,LTD
【Organizational Unit(部門名)】
Online Media
【Common Name(コモンネーム)】
accentplus.jp

CSRの発行
参考サイト:Apache + OpenSSL CSR生成手順 (新規)
https://www.verisign.co.jp/ssl/help/csr/capache_new.html
(1)ディレクトリの作成

mkdir -p /usr/local/ssl/bin

(2)ディレクトリの移動

cd /usr/local/ssl/bin

(3)擬似乱数ファイルの作成

openssl md5 * > rand.dat

(4)擬似乱数ファイルを使って秘密鍵の作成

openssl genrsa -rand rand.dat -des3 2048 > 2010key.pem
※2048は2048bitのキー長です。1024bitではなく基本2048bitで

参考サイト:OpenSSLとその用例
http://linux.kororo.jp/cont/server/openssl_command.php
(5)秘密鍵の作成時のパスフレーズのメモ

*******(パスフレーズは任意)
パスフレーズは必ずメモで残しておくこと

(6)作成した秘密鍵ファイルからCSRを生成

openssl req -new -key 2010key.pem -out 2010csr.pem

ベリサインの申請
(1)申請者画面にアクセス

https://certmanager.verisign.com/mcelp/enroll/index?application_locale=ja_JP&jur_hash=*****
※クリックしてもリンクは繋がりません

(2)新規申し込み

新規申請 「進む」を押下

(3)セキュア・サーバ ID の申請

1.申請者情報を入力
2/サーバソフトウェアを選択(3階層 中間証明 1024bit(IIS以外))
※サーバソフトウェアがIIS以外の場合は3階層 中間証明 1024bit(IIS以外)を選択すること
Apacheを使用していても選択項目にあるApacheは選択しない

3.②-(7)で作成したCSR(2010csr.pem)を貼りつけ
4.チャレンジフレーズを入力
********(任意)
※必ずメモして残しておくこと
5.「同意する」を押下

(4)管理者用画面にアクセス

https://enterprise-ssl-admin.verisign.com
電子証明書をブラウザに設置しないと閲覧不可
1.Certificate Managementをクリック
2.Process Requestsをクリック
3.(3)で申請したものが表示されているので「Approve」を選択

(5)メールが届いているかの確認

申請完了後、「Your Standard SSL Certificate Is Ready」という件名でメールが届く

④サーバにSSL証明書の設置
参考サイト:Apache + OpenSSL サーバIDインストール手順 (新規)
https://www.verisign.co.jp/ssl/help/install/iapache_new.html
(1)ディレクトリの作成

mkdir -p /usr/local/ssl/certs

(2)ディレクトリの移動

cd /usr/local/ssl/certs

(3)2010cert.pemという名前の空ファイルの作成

touch 2010cert.pem

(4)ファイルの編集

メールに添付されているBEGIN CERTIFICATEの内容を2010cert.pemで保存

(5)ディレクトリの作成

mkdir -p /usr/local/ssl/private

(6)ディレクトリの移動

cd /usr/local/ssl/private

(7)秘密鍵をコピー

cp -p /usr/local/ssl/bin/2010key.pem 2010key.pem

(8)サーバID (公開鍵)と秘密鍵のバックアップ

cp -p /usr/local/ssl/certs/2010cert.pem 2010cert.pem.bak.20100806
cp -p /usr/local/ssl/private/2010key.pem 2010key.pem.bak.20100806

(9)中間証明書のインストール

https://www.verisign.co.jp/ssl/help/faq/110089/index.html
へアクセスし、「セキュア・サーバID中間CA証明書1024bit (SHA-1)」をクリック

(10)ディレクトリの移動

cd /usr/local/ssl/certs

(11)intermediate.crtという名前の空ファイルの作成

touch intermediate.crt

(12)ファイルの編集

WEBページのBEGIN CERTIFICATEの内容をintermediate.crtで保存

(13)Apach-SSL設定ファイル(ssl.conf)の編集

ssl.confを開き、サーバID(公開鍵)、秘密鍵、中間証明書のファイルパスを指定
SSLCertificateFile /usr/local/ssl/certs/2010cert.pem を追記(サーバID(公開鍵))
SSLCertificateKeyFile /usr/local/ssl/private/2010key.pem を追記(秘密鍵
SSLCertificateChainFile /usr/local/ssl/certs/intermediate.crt をssl.conf追記(中間証明書)

Apacheの再起動
(1)Apacheの停止

/etc/init.d/httpd stop
※restartではなく、stop、startコマンドで再起動を行う

(2)Apacheの起動

/etc/init.d/httpd start
※②CSRの発行 - (5)で指定したパスフレーズを入力

Apacheの再起動時のパスフレーズ入力をスキップ
・このままではApacheを再起動するたびにパスフレーズの入力が必要となる為、以下の操作で、Apacheやシステムの再起動時のパスフレーズ入力をスキップさせます。

/usr/bin/openssl rsa -in /usr/local/ssl/private/2010key.pem -out /usr/local/ssl/private/2010key.pem

⑦問題が起きたときの切り戻し(問題発生時のみ)

作業完了、問題があれば、バックアップファイルの
ssl.conf.bakをssl.confとし、Apacheの再起動