// 下階層用テンプレート #topicpath ---- //ここにコンテンツを記述します。 #contents SSLのためのサーバ証明書の話です。サーバ証明書はVersignなどいわゆるCA局((Certificate Authority。認証局ですね))に対して証明書要求(CSR。署名前の証明書のこと)を提出し、それに署名((署名ってのは証明書のハッシュをCA局の秘密鍵で暗号化したモノ、、ですね。たぶん))をしてもらう必要があります。 ところでそのCA局ですが、自分でCAを名乗って自分で署名を行うこともできます。HTTPを使ったサイトを構築する場合などは、ブラウザがサイトにアクセスした際、ブラウザに組み込まれたCAの公開鍵をつかって、署名を行っているCAが正式なモノであるかを検証をするため、自前の署名だとあまり役に立たない((ブラウザに信用できねえ署名だよって警告される。役に立たないってのは言い過ぎ(´д`;) ))わけですが、テストサイトや社内のサイトを立ち上げる場合や、SSL-VPNなどのInternalな用途の場合は自前の署名で十分ですね。 **OpenSSLのインストール [#gbc84640] [root@www conf] yum install openssl **CA用秘密鍵を作成する [#wa1c64a5] [root@www conf]# openssl genrsa -des3 -rand /var/log/maillog -out ca.key 1024 441467 semi-random bytes loaded Generating RSA private key, 1024 bit long modulus ......++++++ .........................++++++ e is 65537 (0x10001) Enter pass phrase for ca.key: Verifying - Enter pass phrase for ca.key: [root@www conf]# **CA用証明書を作成する [#o0cd4f10] 先の秘密鍵から、CA用の証明書を作成します [root@www conf]# openssl req -new -x509 -days 365 -key ca.key -out ca.crt Enter pass phrase for ca.key: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [GB]:JP State or Province Name (full name) [Berkshire]:Tokyo Locality Name (eg, city) [Newbury]:Bunkyo Organization Name (eg, company) [My Company Ltd]:Private CA Organizational Unit Name (eg, section) []:Admin Common Name (eg, your name or your server's hostname) []:www.hogehoge.com Email Address []:masatomix@hogehoge.com [root@www conf]# **CSRにCAとして署名する。 [#f1d7fd39] ***サイン用shを取得 [#sd7ab6e4] [root@www conf]# cd /tmp/ [root@www tmp]# http://www.modssl.org/source/mod_ssl-2.8.30-1.3.39.tar.gz [root@www tmp]# wget http://www.modssl.org/source/mod_ssl-2.8.30-1.3.39.tar.gz --23:33:36-- http://www.modssl.org/source/mod_ssl-2.8.30-1.3.39.tar.gz => `mod_ssl-2.8.30-1.3.39.tar.gz' www.modssl.org をDNSに問いあわせています... 195.30.6.168 www.modssl.org|195.30.6.168|:80 に接続しています... 接続しました。 HTTP による接続要求を送信しました、応答を待っています... 200 OK 長さ: 820,416 (801K) [application/x-gzip] 100%[============================================================================>] 820,416 80.34K/s ETA 00:00 23:33:47 (79.45 KB/s) - `mod_ssl-2.8.30-1.3.39.tar.gz' を保存しました [820416/820416] [root@www tmp]# tar xvzf mod_ssl-2.8.30-1.3.39.tar.gz ***サインする [#nc7b21b5] [root@www conf]# /tmp/mod_ssl-2.8.30-1.3.39/pkg.contrib/sign.sh server.csr CA signing: server.csr -> server.crt: Using configuration from ca.config Enter pass phrase for ./ca.key: Check that the request matches the signature Signature ok The Subject's Distinguished Name is as follows countryName :PRINTABLE:'JP' stateOrProvinceName :PRINTABLE:'Tokyo' localityName :PRINTABLE:'Bunkyo' organizationName :PRINTABLE:'Masatom in' organizationalUnitName:PRINTABLE:'self' commonName :PRINTABLE:'www.hogehoge.com' emailAddress :IA5STRING:'root@hogehoge.com' Certificate is to be certified until Mar 1 14:35:46 2009 GMT (365 days) Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified, commit? [y/n]y Write out database with 1 new entries Data Base Updated CA verifying: server.crt <-> CA cert server.crt: OK [root@www conf]# CSRから証明書が作成されました。 [root@www conf]# ls -lrt 合計 308 -rw-r--r-- 1 root root 887 2008-03-01 23:18 ca.key -rw-r--r-- 1 root root 1314 2008-03-01 23:20 ca.crt -rw-r--r-- 1 root root 887 2008-03-01 23:28 server.key -rw-r--r-- 1 root root 2706 2008-03-01 23:36 server.crt <-これ [root@www conf]# ---- この記事は #vote(おもしろかった,そうでもない) #comment #topicpath SIZE(10){現在のアクセス:&counter;}