【02:独自認証SSLについて】
|
|||||||||||||||||||||||||||
| SSLインストール完了までの作業の流れは以下になります。 1)サーバよりCSR発行作業 2)ユーザ様側で電子認証業者と契約 3)電子認証業者より発行されたcert証明書をサーバにインストール 4)SSLの設定完了 サーバ側でコマンド操作により行う作業は、「1)サーバよりCSR発行作業」「3)電子認証業者より発行されたcert証明書をサーバにインストール」になります。 以下、作業方法のご案内です。 |
|||||||||||||||||||||||||||
| ■CSRの発行 | |||||||||||||||||||||||||||
| CSRを発行する際は、事前に以下の情報を用意する必要がございます。 全て英語表記の情報が必要です。
上記の情報を用意したら、ご利用サーバのTelnet(SSH)接続を行い、以下の手順でCSR情報を発行させます。 |
|||||||||||||||||||||||||||
| % mkdir ~/ssl 初めてSSLインストールをする場合は、上記コマンドでSSL証明書用のディレクトリを作成して下さい。 既にSSLをインストールしていた場合は、上記ディレクトリが設定済みとなっています。 例えば、既に設定済みのSSL情報を更新する為のインストールの場合は、sslディレクトリではなく「ssl-2005」というような別名のディレクトリを作成して、作業下さい。 上書きされないようご注意下さい。 % cd ~/ssl 設定した今回SSLをインストールする為のディレクトリに移動し、以下のCSR発行の為のコマンドを実行して下さい。 % openssl req -new > ssl.csr 上記コマンドを実行すると、以下のように質問が表示されます。 % openssl req -new > ssl.csr Generating a 1024 bit RSA private key .............................................++++++ ..............++++++ writing new private key to 'privkey.pem' Enter PEM pass phrase: ご利用サーバの管理IDを入力しますが、入力内容は画面上では表示されません。 入力したら、エンターキーを押して下さい。 Verifying - Enter PEM pass phrase: 確認用に、もう一度入力しエンターキーを押します。 ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]: JP ↑国名「JP」を入力します。 State or Province Name (full name) [Some-State]: Shizuoka ↑都道府県名を入力します。 Locality Name (eg, city) []: Mishima ↑市・区名を入力します。 Organization Name (eg, company) [Internet Widgits Pty Ltd]: RSN Co. ↑カンパニー名を英語表記で入力します。 Organizational Unit Name (eg, section) []: test ↑部署名を英語表記で入力します。 Common Name (eg, YOUR name) []: sava-can.com ↑SSL接続時に利用するドメイン名を入力します。 Email Address []: info@sava-can.com ↑担当者のメールアドレスを入力して下さい。 Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: ↑何も入力せずエンター An optional company name []: ↑何も入力せずエンター 以上で、CSRの発行が完了します。 |
|||||||||||||||||||||||||||
| ディレクトリを閲覧確認して、「ssl.csr」「privkey.pem」が作成されているのを確認して下さい。 % ls -la total 3 drwxr-xr-x 2 webadmin vuser 512 Dec 22 13:36 . drwx------ 10 webadmin vuser 512 Dec 22 13:35 .. -rw-r--r-- 1 webadmin vuser 963 Dec 22 13:45 privkey.pem -rw-r--r-- 1 webadmin vuser 741 Dec 22 13:45 ssl.csr |
|||||||||||||||||||||||||||
| 電子認証業者と契約を行う際、上記の作成された「ssl.csr」が必要になります。 以下のようにコマンドを利用して「ssl.csr」の中身を取得して下さい。 CSRと同時に「privkey.pem」も生成されておりますが、この「privkey.pem」の情報は電子認証業者に提出する必要はありません。 このまま設置しておいて下さい。 |
|||||||||||||||||||||||||||
| more ssl.csr このコマンドを実行すると、以下のようにファイルの中身が表示されます。 % more ssl.csr -----BEGIN CERTIFICATE REQUEST----- MIIB6TCCAVICAQAwgagxCzAJBgNVBAYTAkpQMQ4wDAYDVQQIEwVUb2t5bzEQMA4G A1UEBxMHU2hpYnV5YTEQMA4GA1UEChMHR01PIENvLjElMCMGA1UECxMcUmFwaWRz aXRlIE9wZXJhdGlvbiBkaXZpc2lvbjEYMBYGA1UEAxMPd3d3LmV4YW1wbGUuY29t MSQwIgYJKoZIhvcNAQkBFhV3ZWJtYXN0ZXJAZXhhbXBsZS5jb20wgZ8wDQYJKoZI hvcNAQEBBQADgY0AMIGJAoGBALkOCHEacv1Kjc9issPrlc/QAdzVu2w1gj9JoUjl FBLRI7CLe52dx4BGJkv3LxrvGt3nF70vLY/kX7jTheFNCK2/JHWpp8/+OCOA4Yng qDPbAKp0gMKwHLkEeZpztMEIKWFAfwlzt5BvqGQxytajik9AML9dXk+KdMiNnj1t iXPFAgMBAAGgADANBgkqhkiG9w0BAQQFAAOBgQAnTbxZWKXEHmK6KcAtOoa0ydm9 fjm9Mu1dNglnfJMHphHpcG+Qxotn6p5ZCj2vEHhqcL/7QORYeZGPY9CYS38gyZpJ /cmoT7PMVjCxvGrk2j+QSuSv2ZuQIGyUPudLIuXjHnoyjzdCMxj5q/8AyOOhK/av FturwaMT8VdmC5tFjA== -----END CERTIFICATE REQUEST----- 上記のファイルの中身を全て選択コピーして、別途テキストファイルに保存して下さい。 この時、ファイルの中身は絶対に変更しないでください。 改行の状態もこのままで余白やタブなど挿入しないよう気をつけて下さい。 |
|||||||||||||||||||||||||||
| 以上で、CSRの発行が完了しました。 CSR情報を添えて、電子認証業者とご契約をおこなってください。 電子認証業者とのご契約が完了しますと、cert証明書が発行されます。 このcert証明書をサーバにインストールする事で、SSL接続が可能となります。 |
|||||||||||||||||||||||||||
| cert証明書のインストール | |||||||||||||||||||||||||||
| 電子認証業者との契約が完了すると、以下のようなcert証明書が発行されます。 ※以下は例です。実際の証明書ではございません。 -----BEGIN CERTIFICATE----- HIID6zCCA1SgAwIBAggjrpeurtiasuerjtcWPSLJG+gwDQYJKoZIhvcNAQEFBQAw gYEAvDj84trOc+R+mBOQptMZ1dSRiFx3ZePwDL7vBy63hp5tF3YP8jkW5jh8e8sd Ly9jcmwuY29tb2RvamFwYW4uY29tL0NvbW9kb0phcGFuQ0EuY3JsMDOgMaAvhi1o DwGDVQQLEwhJbWFpenVtaTEmMCQGA1UECxMdUHJvdmlkZWQgYnkgQ29tb2RvIEph cGFuIEluYy4xJDAiBgNVBAsTG0NvbW9kbyBKYXBhbiBFbnRlcnByaXNlIFNTTDEW MBQGA1UEAxMNd3d3LmRtZi1lLmNvbTCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkC gYEAvDjH4trOc+R+GGOQptMZ1dSRiFx3ZePwDL7vBy63hp5tF3YP8jkW5jh8e8sd X5jhWLdCLgOb2wxhkGpmQ7X9OKTEZtOw6yrI/hOLWNCSP3CMyBvSo7pankGXetpG MEYGA1UdIAQ/MD0wOwYMKwYBBAGyMQECAQMEMCswKQYIKwYBBQUHAgEWHWh0dHBz Oi8vc2VjhdXJlmNvbW9kby5uZXQvQ1BTMHIGA1UdHwRrMGkwMqAwoC6GLGh0dHA6 Ly9jcmwuY29tb2RvamFwYW4uY29tL0NvbW9kb0phcGFuQ0EuY3JsMDOgMaAvhi1o dHRwOi8vY3JsMi5jbHHHHH9qYXBhbi5jb20vQ29tb2RvSmFwYW5DQS5jcmwwDQYJ KoZIhvcN98989898gYEAUeC0SdtTccG5CtRvFSw9zt1fVXUBfeufONxqzZj4ralk xJOuASIw31UlVfrDbXZ5IGYAXjvNSy6Y0hHFKVWPEATRAPWMPqHXIMpPTw9EEagG K42+44GitTyxh+YGdUxC+4erywrtywry3wAROhrZEaO7bWIwoR0OgPoAY84Txms= -----END CERTIFICATE----- |
|||||||||||||||||||||||||||
| この証明書を、CSRを発行したディレクトリに以下のようなコマンドを用いて設置します。 % vi ssl.cert 上記コマンドで、viコマンドによる編集画面が開かれますので、コピーしたcert証明書の情報を流し込み、ssl.certとして保存します。 |
|||||||||||||||||||||||||||
| 次に以下のコマンドを入力します % openssl rsa -in privkey.pem -out ssl.pk パスフレーズを質問されますので、CSRを発行した時に設定した管理ユーザIDを入力します。 上記コマンド実行後、同ディレクトリ内に「ssl.pk」というファイルが生成されます。 |
|||||||||||||||||||||||||||
| SSLの期限による更新作業など、同サーバに以前既にSSLをインストールしていた場合は、以下のコマンドを実行後、次にお進み下さい。 % sslctrl remove |
|||||||||||||||||||||||||||
|
次に、続けて以下のコマンドを実行して下さい。 % sslctrl installpkey < ssl.pk % sslctrl installcsr < ssl.csr % sslctrl installcert < ssl.cert 上記コマンド実行後、以下のコマンドを実行して下さい。 % sslctrl enable 上記コマンド実行後、「ERROR: SSL already enabled.」とエラーメッセージが表示されますが、サーバ設定に問題はありません。 |
|||||||||||||||||||||||||||
| 上記で証明書のインストールは完了です。 登録したコモンネームでSSL接続が可能になっているかどうかをご確認下さい。 |
|||||||||||||||||||||||||||