SSLの設定
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
検索
|
最終更新
|
ヘルプ
]
開始行:
* SSLの設定 [#j3f119be]
#contents
** OpenSSL のインストール [#mc6b2d54]
既に 0.9.6 がインストール済でしたが、どうせなら新しいもの...
[bokupi@pokota i386]$ rpm -i --test openssl-0.9.7d-0vl4....
エラー: 依存性の欠如:
libc.so.6(GLIBC_2.3) は openssl-0.9.7d-0vl4 に...
てなわけで、失敗。素直に、インストールされている openSSL0...
** Apache の構築 [#ca54b4b8]
1.3系を利用すると、mod_ssl を make して、更に Apache を再...
既にインストール済の場合は、下記のコマンドで、Apache組込...
# httpd -l
** 証明書の作成 [#pc02f2d0]
*** 乱数の種を作成 [#rbe2b106]
$ openssl rand -rand /var/adm/messages -out /var/tmp/.rn...
*** 鍵の作成 [#q0292c62]
乱数の種から、鍵を生成する。この鍵は後々も大事に保管する...
$ openssl genrsa -des3 -rand /var/tmp/ -out home3-key.pe...
*** CSR(CA証明書発行要求)の作成 [#oeeaf140]
鍵から、CSRを生成する。これは、設定時しか利用しない。
$ openssl req -new -key home3-key.pem -out home3-csr.pem
*** プライベートCAの作成 [#pcdb5177]
ここからは、プライベートCA(認証局)の作成に入る。外部の認...
openssl関連の設定ファイルがどこにあるか、探す。プレインス...
- /usr/share/ssl (RedhatLinux9の場合)
上記のディレクトリから、必要なファイル類を取り出す。今回...
# mkdir /etc/CA
# mkdir /etc/CA/certs
# mkdir /etc/CA/crl
# mkdir /etc/CA/newcerts
# touch /etc/CA/index.txt
# echo "01" > /etc/CA/serial
# mkdir /etc/CA/private
# chmod 700 /etc/CA/private
ディレクトリ構造の作成が終わったら、openssl.cnf をコピー...
*** プライベートCAの鍵を生成 [#ree9fe76]
これらのコマンドは、/etc/CA にて発行する。
# openssl genrsa -des3 -out private/cakey.pem 1024
*** プライベートCAのCRT(CA証明書)の作成 [#h115859a]
# openssl req -new -x509 -key private/cakey.pem -out cac...
ここまでが、プライベートCA の作成になる。
*** CSRを署名して、CRTへ(home3のCRTを署名) [#k4317f33]
# openssl ca -config /etc/CA/openssl.cnf -in home3-csr.p...
ここで作成した home3-cert.pem が、配布用の証明書になる。
** Apache の設定 [#xce65b78]
Apache2.0 の設定は、ssl.conf にて行なう。Apache1.3 の設定...
# 基本設定。自分の環境に合わせて設定する
<VirtualHost 192.168.0.3:443>
DocumentRoot "/usr/local/apache2/htdocs"
ServerName omoshiro-joho.com:443
ServerAdmin webmaster@omoshiro-joho.com
ErrorLog /usr/local/apache2/logs/error_log
TransferLog /usr/local/apache2/logs/access_log
# 元々あるもののコメントを外せばよい
SSLEngine on
# 元々あるもののコメントを外せばよい
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:...
# 自分が生成した証明書の場所を指定する
SSLCertificateFile /home/bokupi/work/ssl/home3-cert.pem
# 自分が指定した秘密鍵の場所を指定する
SSLCertificateKeyFile /home/bokupi/work/ssl/home3-key.pem
** Apache の起動 [#i5efc480]
Apache2.0 の場合、下記コマンドで起動ができる。
$ apachectl startssl
VineLinux2.6 に組込み済の Apache1.3 の場合、起動スクリプ...
start() {
echo -n $"Starting $prog: "
daemon $httpd `moduleargs` $OPTIONS
RETVAL=$?
echo
[ $RETVAL = 0 ] && touch /var/lock/subsys/httpd
return $RETVAL
}
修正内容は、httpd でパスワードを聞かれた際に入力できるよ...
startssl() {
echo -n $"Starting $prog: "
$httpd `moduleargs` $OPTIONS
RETVAL=$?
[ $RETVAL = 0 ] && touch /var/lock/subsys/httpd
return $RETVAL
}
なお、SSL に限らず httpd.conf 中で IfDefine指定された各モ...
以下は、SSL と PH4P を有効にして起動する例である。
# httpd -D HAVE_SSL -D HAVE_PHP4 start
** Apache をパスワード入力なしで起動 [#w6801f1d]
しかし、Apache が自動的に再起動する場合など、パスワード入...
以下のコマンドで、先に作成したサーバの秘密鍵から、パスワ...
$ openssl rsa -in home3-key.pem -out home3-key-nopass.pem
なお、作成されたファイルの所有者は root にしておく(セキュ...
Apache の設定ファイル httpd.conf を修正する。SSLCertifica...
SSLCertificateKeyFile /home/bokupi/work/ssl/home3-key-no...
以上で、今後 Apache を起動する際は、パスワード入力を聞か...
----
** 履歴 [#md81bb8b]
- パスワードなし起動について追加 2005/10/02
終了行:
* SSLの設定 [#j3f119be]
#contents
** OpenSSL のインストール [#mc6b2d54]
既に 0.9.6 がインストール済でしたが、どうせなら新しいもの...
[bokupi@pokota i386]$ rpm -i --test openssl-0.9.7d-0vl4....
エラー: 依存性の欠如:
libc.so.6(GLIBC_2.3) は openssl-0.9.7d-0vl4 に...
てなわけで、失敗。素直に、インストールされている openSSL0...
** Apache の構築 [#ca54b4b8]
1.3系を利用すると、mod_ssl を make して、更に Apache を再...
既にインストール済の場合は、下記のコマンドで、Apache組込...
# httpd -l
** 証明書の作成 [#pc02f2d0]
*** 乱数の種を作成 [#rbe2b106]
$ openssl rand -rand /var/adm/messages -out /var/tmp/.rn...
*** 鍵の作成 [#q0292c62]
乱数の種から、鍵を生成する。この鍵は後々も大事に保管する...
$ openssl genrsa -des3 -rand /var/tmp/ -out home3-key.pe...
*** CSR(CA証明書発行要求)の作成 [#oeeaf140]
鍵から、CSRを生成する。これは、設定時しか利用しない。
$ openssl req -new -key home3-key.pem -out home3-csr.pem
*** プライベートCAの作成 [#pcdb5177]
ここからは、プライベートCA(認証局)の作成に入る。外部の認...
openssl関連の設定ファイルがどこにあるか、探す。プレインス...
- /usr/share/ssl (RedhatLinux9の場合)
上記のディレクトリから、必要なファイル類を取り出す。今回...
# mkdir /etc/CA
# mkdir /etc/CA/certs
# mkdir /etc/CA/crl
# mkdir /etc/CA/newcerts
# touch /etc/CA/index.txt
# echo "01" > /etc/CA/serial
# mkdir /etc/CA/private
# chmod 700 /etc/CA/private
ディレクトリ構造の作成が終わったら、openssl.cnf をコピー...
*** プライベートCAの鍵を生成 [#ree9fe76]
これらのコマンドは、/etc/CA にて発行する。
# openssl genrsa -des3 -out private/cakey.pem 1024
*** プライベートCAのCRT(CA証明書)の作成 [#h115859a]
# openssl req -new -x509 -key private/cakey.pem -out cac...
ここまでが、プライベートCA の作成になる。
*** CSRを署名して、CRTへ(home3のCRTを署名) [#k4317f33]
# openssl ca -config /etc/CA/openssl.cnf -in home3-csr.p...
ここで作成した home3-cert.pem が、配布用の証明書になる。
** Apache の設定 [#xce65b78]
Apache2.0 の設定は、ssl.conf にて行なう。Apache1.3 の設定...
# 基本設定。自分の環境に合わせて設定する
<VirtualHost 192.168.0.3:443>
DocumentRoot "/usr/local/apache2/htdocs"
ServerName omoshiro-joho.com:443
ServerAdmin webmaster@omoshiro-joho.com
ErrorLog /usr/local/apache2/logs/error_log
TransferLog /usr/local/apache2/logs/access_log
# 元々あるもののコメントを外せばよい
SSLEngine on
# 元々あるもののコメントを外せばよい
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:...
# 自分が生成した証明書の場所を指定する
SSLCertificateFile /home/bokupi/work/ssl/home3-cert.pem
# 自分が指定した秘密鍵の場所を指定する
SSLCertificateKeyFile /home/bokupi/work/ssl/home3-key.pem
** Apache の起動 [#i5efc480]
Apache2.0 の場合、下記コマンドで起動ができる。
$ apachectl startssl
VineLinux2.6 に組込み済の Apache1.3 の場合、起動スクリプ...
start() {
echo -n $"Starting $prog: "
daemon $httpd `moduleargs` $OPTIONS
RETVAL=$?
echo
[ $RETVAL = 0 ] && touch /var/lock/subsys/httpd
return $RETVAL
}
修正内容は、httpd でパスワードを聞かれた際に入力できるよ...
startssl() {
echo -n $"Starting $prog: "
$httpd `moduleargs` $OPTIONS
RETVAL=$?
[ $RETVAL = 0 ] && touch /var/lock/subsys/httpd
return $RETVAL
}
なお、SSL に限らず httpd.conf 中で IfDefine指定された各モ...
以下は、SSL と PH4P を有効にして起動する例である。
# httpd -D HAVE_SSL -D HAVE_PHP4 start
** Apache をパスワード入力なしで起動 [#w6801f1d]
しかし、Apache が自動的に再起動する場合など、パスワード入...
以下のコマンドで、先に作成したサーバの秘密鍵から、パスワ...
$ openssl rsa -in home3-key.pem -out home3-key-nopass.pem
なお、作成されたファイルの所有者は root にしておく(セキュ...
Apache の設定ファイル httpd.conf を修正する。SSLCertifica...
SSLCertificateKeyFile /home/bokupi/work/ssl/home3-key-no...
以上で、今後 Apache を起動する際は、パスワード入力を聞か...
----
** 履歴 [#md81bb8b]
- パスワードなし起動について追加 2005/10/02
ページ名: