tips-SSL
https://globalsign.ssllabs.com/analyze.html
1. 疑似乱数の生成
% cd /var/tmp
% openssl md5 * > rand.dat
2. 秘密鍵ファイル(server.key)の作成
% openssl genrsa -rand rand.dat -des3 1024 > server.key
秘密鍵を保護するためのパスフレーズの入力を求められます。ここで入力したパスフレーズは後で必要になるので、覚えておいてください。
また、一般ユーザーが見れないように属性を変更します。
% chmod 600 server.key
3. CSR の作成
% openssl req -new -key server.key -out csr.pem
秘密鍵のパスフレーズを入力します。証明書に表示される情報を入力していきます。(必要なければ単に改行だけ押してください)
Country Name (2 letter code) [AU]:JPState or Province Name (full name) [Some-State]:HyogoLocality Name (eg, city) []:Kobe-cityOrganization Name (eg, company) [Internet Widgits Pty Ltd]:[会社名]Organizational Unit Name (eg, section) []:Common Name (eg, YOUR name) []:Email Address []:
Please enter the following 'extra' attributesto be sent with your certificate requestA challenge password []:An optional company name []:
同じフォルダに CSR である csr.pem ができます。これをベリサインなどに伝えます。
4. サーバーIDの保存
サーバID通知メールを送られてくるので、「-----BEGIN CERTIFICATE-----」から「-----END CERTIFICATE-----」までをこれらの2行も含めて、server.crt のファイル名で保存します。これを 指定の場所に置いておきます。
実行は下記のようにしましょう。
% /usr/local/apache2/bin/httpd -DSSL
パスフレーズを聞かれますので、server.key を作成したときに設定したパスフレーズを入力してください。
○パスフレーズを入力しないで起動する方法
自動起動する場合などは、パスフレーズの入力を外す必要があります。
% cd /usr/local/apache2/conf/ssk.key% openssl rsa -in server.key -out server_nopass.key% chmod 600 server_nopass.key
/usr/local/apache2/conf/ssl.conf を1ヶ所変更してください。
SSLCertificateKeyFile /usr/local/apache2/conf/ssl.key/server_nopass.key
パスフレーズの入力なしで起動することができるようになります。