Apache/オレオレ証明書でSSL
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
検索
|
最終更新
|
ヘルプ
|
ログイン
]
開始行:
&tag(Apache/オレオレ証明書でSSL);
*目次 [#ida449c4]
#contents
*関連ページ [#x4933a65]
*参考情報 [#vbeae3fd]
*概要 [#j5830f85]
-ちゃんとしたSSL対応Webサーバーを設置する場合、普通、有料...
-ただしイントラネットなどで、経路を暗号化するためだけに、...
,ファイル名,機能
,server.key,秘密鍵 (Private Key)
,server.csr,証明書署名要求 (CSR)
,server.crt,サーバ証明書(CRT)
-サーバー側で秘密鍵を作成し、認証局(CA)に証明書要求をわた...
-認証局は、その秘密鍵が本当に、その通信相手のものかを証明...
-この認証局を自分でやってしまうのがオレオレ認証となる。
-ただしこのままだとブラウザに警告が表示される、ルート証明...
--[[高木浩光@自宅の日記 - オレオレ警告の無視が危険なこれ...
--[[高木浩光@自宅の日記 - PKIよくある勘違い(2)「安全に配...
-ながながと書かれているが、用はプライベートで運営している...
-ということで、テスト目的ならば、警告表示状態でオレオレ証...
*具体的手順 [#cbc2f760]
-[[opensslでRSA暗号と遊ぶ - ろば電子が詰まっている:http:/...
**秘密鍵(server.key)の作成 [#l289a2ae]
-適当なディレクトリで以下のコマンドを実行。
# openssl genrsa 2048 > server.key
-2048は2048バイトの鍵作成オプション。パスフレーズは適当に...
**証明書署名要求(server.csr)の作成 [#xa3a9219]
-以下のコマンドで実行する。
openssl req -new -key server.key > server.csr
-途中のドメイン情報で、Common Nameだけはサーバーのドメイ...
#pre{{
Country Name (2 letter code) [XX]:JP
State or Province Name (full name) []:Tokyo
Locality Name (eg, city) [Default City]:Kanda,Chiyoda-ku
Organization Name (eg, company) [Default Company Ltd]:Aki...
Organizational Unit Name (eg, section) []:Akihabara Devel...
Common Name (eg, your name or your server's hostname) []:...
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
}}
**サーバー証明書(server.crt)の作成 [#r6e9edae]
-この秘密鍵はサーバー秘密鍵と別のほうが良い?とりあえず同...
openssl x509 -in server.csr -days 365 -req -signkey serv...
**Apacheの設定 [#s9dae7c8]
-server.crtと、server.keyを、/etc/httpd/conf/keys以下にコ...
-CentOSの場合、ssl.confで設定する。全体のアクセス制限が、...
#pre{{
DocumentRoot "/home/swww"
SSLEngine on
SSLProtocol all -SSLv2
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MED...
SSLCertificateFile /etc/httpd/conf/keys/server.crt
SSLCertificateKeyFile /etc/httpd/conf/keys/server.key
}}
**確認 [#p1efb9df]
-apacheを再起動しhttpsでアクセスして確認。
*SSLクライアント認証簡易版 [#v1cca895]
-証明書がインストールしてあるクライアントだけ接続可能にす...
-[[Apacheでクライアント認証してみる · mechamogera/My...
**クライアント用秘密鍵の作成(client.key) [#r2b921b8]
-以下のコマンドで生成。
openssl genrsa -out client.key 1024
**クライアント用証明書要求の生成(client.csr) [#a8387500]
-以下のコマンドで生成。
openssl req -new -key client.key -out client.csr -sha1
**クライアント用証明書の生成 [#j79af35b]
-以下のコマンドで生成。
openssl x509 -in client.pem -out client.crt -req -signke...
**p12ファイルの生成。 [#b453a6bf]
-以下のコマンドで生成。
openssl pkcs12 -export -inkey server.key -in server.crt ...
**Apacheの設定の変更 [#id624bfb]
-SSLCACertificateFileを指定する。
SSLCACertificateFile /cert/client.crt
-サーバーを再起動して、server.p12ファイルあればアクセスで...
終了行:
&tag(Apache/オレオレ証明書でSSL);
*目次 [#ida449c4]
#contents
*関連ページ [#x4933a65]
*参考情報 [#vbeae3fd]
*概要 [#j5830f85]
-ちゃんとしたSSL対応Webサーバーを設置する場合、普通、有料...
-ただしイントラネットなどで、経路を暗号化するためだけに、...
,ファイル名,機能
,server.key,秘密鍵 (Private Key)
,server.csr,証明書署名要求 (CSR)
,server.crt,サーバ証明書(CRT)
-サーバー側で秘密鍵を作成し、認証局(CA)に証明書要求をわた...
-認証局は、その秘密鍵が本当に、その通信相手のものかを証明...
-この認証局を自分でやってしまうのがオレオレ認証となる。
-ただしこのままだとブラウザに警告が表示される、ルート証明...
--[[高木浩光@自宅の日記 - オレオレ警告の無視が危険なこれ...
--[[高木浩光@自宅の日記 - PKIよくある勘違い(2)「安全に配...
-ながながと書かれているが、用はプライベートで運営している...
-ということで、テスト目的ならば、警告表示状態でオレオレ証...
*具体的手順 [#cbc2f760]
-[[opensslでRSA暗号と遊ぶ - ろば電子が詰まっている:http:/...
**秘密鍵(server.key)の作成 [#l289a2ae]
-適当なディレクトリで以下のコマンドを実行。
# openssl genrsa 2048 > server.key
-2048は2048バイトの鍵作成オプション。パスフレーズは適当に...
**証明書署名要求(server.csr)の作成 [#xa3a9219]
-以下のコマンドで実行する。
openssl req -new -key server.key > server.csr
-途中のドメイン情報で、Common Nameだけはサーバーのドメイ...
#pre{{
Country Name (2 letter code) [XX]:JP
State or Province Name (full name) []:Tokyo
Locality Name (eg, city) [Default City]:Kanda,Chiyoda-ku
Organization Name (eg, company) [Default Company Ltd]:Aki...
Organizational Unit Name (eg, section) []:Akihabara Devel...
Common Name (eg, your name or your server's hostname) []:...
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
}}
**サーバー証明書(server.crt)の作成 [#r6e9edae]
-この秘密鍵はサーバー秘密鍵と別のほうが良い?とりあえず同...
openssl x509 -in server.csr -days 365 -req -signkey serv...
**Apacheの設定 [#s9dae7c8]
-server.crtと、server.keyを、/etc/httpd/conf/keys以下にコ...
-CentOSの場合、ssl.confで設定する。全体のアクセス制限が、...
#pre{{
DocumentRoot "/home/swww"
SSLEngine on
SSLProtocol all -SSLv2
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MED...
SSLCertificateFile /etc/httpd/conf/keys/server.crt
SSLCertificateKeyFile /etc/httpd/conf/keys/server.key
}}
**確認 [#p1efb9df]
-apacheを再起動しhttpsでアクセスして確認。
*SSLクライアント認証簡易版 [#v1cca895]
-証明書がインストールしてあるクライアントだけ接続可能にす...
-[[Apacheでクライアント認証してみる · mechamogera/My...
**クライアント用秘密鍵の作成(client.key) [#r2b921b8]
-以下のコマンドで生成。
openssl genrsa -out client.key 1024
**クライアント用証明書要求の生成(client.csr) [#a8387500]
-以下のコマンドで生成。
openssl req -new -key client.key -out client.csr -sha1
**クライアント用証明書の生成 [#j79af35b]
-以下のコマンドで生成。
openssl x509 -in client.pem -out client.crt -req -signke...
**p12ファイルの生成。 [#b453a6bf]
-以下のコマンドで生成。
openssl pkcs12 -export -inkey server.key -in server.crt ...
**Apacheの設定の変更 [#id624bfb]
-SSLCACertificateFileを指定する。
SSLCACertificateFile /cert/client.crt
-サーバーを再起動して、server.p12ファイルあればアクセスで...
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
