SSL証明書の導入

 

SSL証明書の購入から、apacheへの導入までの流れ。

1. 秘密鍵ファイルの作成

$ openssl genrsa -rand /var/log/maillog -des3 2048 > 20120420_abeerforyou.com.key.pem

 

2. CSRファイルの生成

$ openssl req -new -key 20120420_abeerforyou.com.key.pem -out  20120420_abeerforyou.com.csr.pem

Distinguish name情報を入力する。

Country Name: JP
State or Province Name: Tokyo
Locality Name: Minato-ku
Organization Name: hoge K.K.
Organizational Unit Name: (省略可能)
Common Name: abeerforyou.com

同一コモンネームで複数の証明書を取得する場合は、Orgnizational Unit Nameを別名にする。

以後、全ての入力項目は省略しても問題ない。(Enter入力)

CSRファイル完成。

 

3. 秘密鍵をバックアップ

秘密鍵をなくすと証明書が使えなくなるため、別ストレージ等にバックアップしておく。

また、秘密鍵が漏れると暗号が解読されてしまうため、厳重に管理。

 

4. SSL証明書の選択

格安で使えるRapidSSLを使用する。

RapidSSLのルート証明書は、GeoTrust Global CAであり、i-modeを含め多くの携帯電話、パソコンでサポートされている。

GeoTrust Global CA [ルート証明書]
  |--  RapidSSL CA [中間CA証明書]
         |-- www.yourdomain.co.jp [サーバ証明書]

 

 5. 証明書の購入先の選択

代行業者も沢山あり、価格も異なる。

今回は、Paypal決済が可能で格安のDEFINEを利用。1,291円(税込)/年(2012年4月12日時点)。

 

6. 証明書発行申請

DEFINEのサイトで証明書の購入決済を終えると、証明書発行申請ページへのURLがメールで送られてくる。そのサイトで発行申請。

DEFINEでは、手順書もくれる。

 

7. apacheに証明書の導入

証明書発行申請の内容に問題がなければ、数分でGeoTrustからメール本文にベタ書きで証明書が送付されてくる。

ここからは、サーバ(Cent OS)上でapacheの設定。

/etc/httpd/conf.d/ssl.conf を修正。

# 今回発行された証明書
SSLCertificateFile  /etc/pki/tls/certs/20120420_abeerforyou.com.crt
# 秘密鍵
SSLCertificateKeyFile /etc/pki/tls/private/20120420_abeerforyou.com.key.pem
# 中間CA証明書
SSLCertificateChainFile /etc/pki/tls/certs/intermediate.crt

中間CA証明書に関しては、RapidSSLのルート証明書であるGeoTrust Global CAがインストールされていない端末(一部のAndroid等)でも証明書不正の警告を出さないために、4階層になるように設定している。

4階層の場合、GetTrust Global CAは中間CAになり、(上記一部のAndroid端末等でもインストールされている)Equifax Secure CAがルート証明書として認識される。

設定完了後、apacheの再起動。

$ service httpd restart

 

8. 完了! 

 

■参考文献