ホーム » パソコン » ssl認証の更新

ssl認証の更新


--- 広告 ---
--- 広告 ---

SSL(Secure Socket Layer)認証の更新時期がきたので、送られてきたSSLサーバ証明書を差し替え。

私は2年毎の更新にしているので、更新手順はすっかり忘れている状態。今回は中間CA証明書のインストールで無駄な時間を費やしてしまいました。 Apache2 + mod_ssl の場合、ssl.conf のSSLCertificateChainFileを コメントアウトを外し中間CA証明書のパスとファイル名を指定します。 この設定前は firefox でうまくssl として読むことができず半日潰しました。 (^^;

更新でなければ RSA秘密鍵を生成して、RSA秘密鍵を元にCSR(Certificate Signing Request 証明書要求)ファイルを生成して認証局に送付し、認証局が受け取ったCSRを元にサーバ証明書を生成しサーバ管理者に送付。サーバ管理者は受け取ったサーバ証明書をWebサーバに組み込んで、SSLを導入します。

RSA秘密鍵生成
openssl genrsa -out hoge.key 1024
chmod 400 hoge.key
-----BEGIN RSA PRIVATE KEY-----
-----END RSA PRIVATE KEY-----

というPEM形式のフォーマットで作成される。

CSR生成
生成した RSA 秘密鍵 hoge.key を元に、CSR (証明書要求) を作成し、csr.pem に出力します。 ここではSSL/TLS を導入したいドメインの情報を入力します。
生成される csr.pem の内容は以下の通りです。
-----BEGIN CERTIFICATE REQUEST-----
-----END CERTIFICATE REQUEST-----

http://x68000.q-e-d.net/~68user/net/ssl-setup-1.htmlの記事に感謝です。
1. サーバ管理者が RSA 秘密鍵 (server.key) を生成します。
RSA秘密鍵生成
openssl genrsa -out hoge.key 1024
chmod 400 hoge.key

-----BEGIN RSA PRIVATE KEY-----
-----END RSA PRIVATE KEY-----
というPEM形式のフォーマットで作成される。

2. CSR生成
生成した RSA 秘密鍵 hoge.key を元に、CSR (証明書要求) を作成し、csr.pem に出力します。 ここでは SSL/TLS を導入したいドメインの情報を入力します。

生成される csr.pem の内容は以下の通りです。
-----BEGIN CERTIFICATE REQUEST-----
-----END CERTIFICATE REQUEST-----

1. サーバ管理者が RSA 秘密鍵 (server.key) を生成します。
2. サーバ管理者が RSA 秘密鍵を元に CSR (Certificate Signing Request: 証明書要求。csr.pem) ファイルを生成し、認証局に送付します。
3. 認証局が受け取った CSR を元にサーバ証明書 (server.crt) を生成し、サーバ管理者に送付します。
4. サーバ管理者は受け取ったサーバ証明書を Web サーバに組み込みます。
ポイントをまとめます。
* 秘密鍵 server.key と、CSR である csr.pem はサーバ管理者が生成します。
* サーバ管理者は csr.pem を認証局に送ります。server.key は誰にも公開してはいけません。認証局に公開してもダメです。
* 認証局は受け取った csr.pem を元に署名を行い、証明書 server.crt を生成して、サーバ管理者に送付します。
* 最終的にサーバ管理者が必要なのは、秘密鍵 server.key と証明書 server.crt です。 いったん証明書が作成されたら csr.pem は不要になります。削除しても構いません。

* それぞれのファイル名は何でもよいです。server-private-key.pem や server-certificate.pem としても別に構いません。 ファイルの 1行目が「BEGIN RSA PRIVATE KEY」なら RSA 秘密鍵、「BEGIN CERTIFICATE REQUEST」なら CSR、「BEGIN CERTIFICATE」なら証明書、と考えるとよいでしょう。
1. サーバ管理者が RSA 秘密鍵を元に CSR (Certificate Signing Request: 証明書要求。csr.pem) ファイルを生成し、認証局に送付します。
2. 認証局が受け取った CSR を元にサーバ証明書 (server.crt) を生成し、サーバ管理者に送付します。
3. サーバ管理者は受け取ったサーバ証明書を Web サーバに組み込みます。

--- 広告 ---
--- 広告 ---

 

この記事に関連する記事一覧

目 次
最近の投稿
--- 広告 ---
--- 広告 ---
お問い合わせ