Menu
はじめに
ネットワーク準備
インストール準備
インストール
 ・HDD1個
 ・RAID1
 ・アップデート
Linux基本操作
サーバー設定
 ・ネットワーク
 ・sshサーバー
 ・DNSサーバー
  ・ダイナミックDNS
 ・Webサーバー
 ・mailサーバー
  ・内部のみ許可
  ・POPbeforeSMTP
 ・ftpサーバー
 ・ntpサーバー
 ・ディスク容量制限
 ・アクセス解析
 ・webメール
 ・全文検索設置
 ・メーリングリスト
拡張・変更
 ・ディスクを交換
 ・RAID1に変更
 ・マシン入替え
 ・postfixにする
 ・kernelをソースから
 ・ドメイン名
   サーバー名
   IPアドレス変更
CGI
 ・カウンタ設置
セキュリティーアップ
格安でドメイン登録
日々のメモ
便利なコマンド

サイト内検索
www.kaji3.com

本日
昨日
---------
SSL接続(https)
暗号化して接続するhttpsはクレジットカード番号などの重要な情報をやり取りするページで利用されています。通常は認証を専門に扱うCA(認証局)によって証明書が発行されて身元が保証されます。例えば日本ベリサインなどです。しかしながら個人が利用するには金額的にとても手の出るものではありません。そこで個人的な暗号化通信の目的の為に自己署名証明書を利用することが可能です。この方法の場合、プラウザは証明書を自動では受け付けないので証明を受け入れるかの問いが出ます。しかし、個人で利用する分には十分に暗号化の目的を達成することが出来るのです。
キーと証明書の作成
インストール時に生成されたキーを削除
このキーと証明書をそのまま使うことはお勧めできません。理由としてはパスワードがないこと、証明書の内容に必要な情報が入っていないことです。

# cd /etc/httpd/conf
# rm ssl.key/server.key
# rm ssl.crt/server.crt

キーの生成
キーはパスワードつきのものを利用します。もしキーが盗まれた場合にもパスワードがなければ利用できないのであなたのWebの偽者が作られることはないのです。

# make genkey
umask 77 ; \
/usr/bin/openssl genrsa -des3 1024 > /etc/httpd/conf/ssl.key/server.key
Generating RSA private key, 1024 bit long modulus
....++++++
........................................++++++
e is 65537 (0x10001)
Enter pass phrase:xxxxxxxxx   << 4桁以上のパスワード
Verifying - Enter pass phrase:xxxxxxxxx   << 確認の再入力

パスワードなしのキーの生成の方法(あまりお勧め出来ません)
# /usr/bin/openssl genrsa 1024 > /etc/httpd/conf/ssl.key/server.key
# chmod go-rwx /etc/httpd/conf/ssl.key/server.key

自己署名証明書の作成

# cd /usr/share/ssl/certs
# make testcert
umask 77 ; \
/usr/bin/openssl req -new -key /etc/httpd/conf/ssl.key/server.key -x509 -days 36
5 -out /etc/httpd/conf/ssl.crt/server.crt
Enter pass phrase for /etc/httpd/conf/ssl.key/server.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:JP
State or Province Name (full name) [Berkshire]:Tokyo
Locality Name (eg, city) [Newbury]:chiyoda-ku
Organization Name (eg, company) [My Company Ltd]: kaji3.com
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:www.kaji3.com
Email Address []:admin@kaji3.com

CAに証明書発行依頼する場合

# cd /usr/share/ssl/certs
# make certreq
umask 77 ; \
/usr/bin/openssl req -new -key /etc/httpd/conf/ssl.key/server.key -out /etc/http
d/conf/ssl.csr/server.csr
Enter pass phrase for /etc/httpd/conf/ssl.key/server.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:JP
State or Province Name (full name) [Berkshire]:Tokyo
Locality Name (eg, city) [Newbury]:Chiyoda-ku
Organization Name (eg, company) [My Company Ltd]:kaji3.com
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:www.kaji3.com
Email Address []:admin@kaji3.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
なお、細かな記載事項についてはCAの説明をよく読んで入力するようにして下さい。

CAから送られてきた証明書を/etc/httpd/conf/ssl.csr/server.csrとして保存します。
ssl.confの設定
/etc/httpd/conf.d/ssl.confを書き換えます。

#  General setup for the virtual host
DocumentRoot "/home/www-owner/html"
ServerName www.yourdomain.com:443
ServerAdmin admin@yourdomain.com

httpdを再起動
パスワードを聞かれます。先ほどのキー生成の時のパスワードを入力します。
(このパスワードはhttpdを起動するたびに入力する必要がります)

/etc/init.d/httpd restart

Copyright (C) 2003-2004 Kaji3.com. All Rights Reserved.