まずは、ベリサインなどの認証局(Certification Authority:略CA)を使用しない方法でやってみました。 (開発環境とかテストはこれで十分)
{$IHS_ROOT}/bin/ikeyman を起動し、GUIのメニューバーより
鍵データベース・ファイル > 新規..
を選択し
鍵データベース・タイプ:CMS ファイル名: mkinokey.kdb 位置: /opt/IBM/IBMHttpServer/ssl/
としてOK押下。そうすると、このkdbファイルを開くときに必要な、パスワードを指定する画面が出てくるので、適当に決めましょう。その際パスワードをファイルに隠しておきますか?をチェックしておく。
以上で、空の鍵データベース・ファイルができました。
mkinokey.sth mkinokey.crl mkinokey.kdb mkinokey.rdb
今回はベリサインなどのCAを使用しない、テスト環境の設定を行います。
「鍵データベースの内容」のプルダウンを「個人用証明書」にします。
右下の「新規自己署名..」より自己署名を設定します。
鍵ラベル: test 共通名: サーバ名 <- ユーザがURLで指定するサーバ名にしておかないと、 ブラウザアクセス時、ダイアログが出ちゃうので注意深く設定しよう 組織: hoge
とかしました。
以上で、鍵データベース・ファイルに個人用証明書の設定が完了しました。メニューより、
鍵データベース・ファイル > 終了
で閉じてください。
本番の環境など、Verisignに認証してもらう場合は、新規自己署名ではなく「受信」で、あらかじめVerisignにもらった個人証明書ファイルを読み込みます。
httpd.confに以下を追加
LoadModule ibm_ssl_module modules/mod_ibm_ssl.so Listen 443 <VirtualHost *:443> SSLEnable Keyfile "/opt/IBM/IBMHttpServer/ssl/mkinokey.kdb" #SSLServerCert test <-Verisignの場合、鍵ラベルとあわせること #SSLClientAuth 0 </VirtualHost>
http://www-1.ibm.com/support/docview.wss?uid=std3a980c41a5286c63049256eb3001f8a22
ちなみにVerisignを使う場合のフローもあわせてまとめると
URL | ファイル | ファイル形式 | 名称 |
https://www.verisign.co.jp/server/cus/rootcert/get2028pca3.html | getrootcert.cer | 2進derデータ | Verisign Class 3 Public Primary Certification Authority |
https://www.verisign.co.jp/server/help/intermediateCA.html | intermediateca.cer | テキスト | VeriSign? Class 3 CA Individual Subscriber-Persona Not Validated |
SSLServerCert ラベル SSLClientAuth 0を追加することを忘れないようにしましょう。
この記事は
[Fri Jan 06 22:45:14 2006] [warn] SSL0263W: SSL Connection attempted when SSL did not initialize.てなっちゃう。なんでだろ? -- きの? 2006-01-06 22:34:32 (金)
現在のアクセス:27375