SSL_key,csr作成

JITAKU_SVR_Wiki

SSL証明書 †

以下、ディレクトリ構造
(作成するときに、年を入れると分かりやすい)

# mkdir /ANYWHERE/ssl.key

# mkdir /ANYWHERE/ssl.csr

例)
/home/SSL/ouchiserver.com.2012/ssl.key/

keyファイルの作成 †

keyの作成方法

# cd /ANYWHERE/ssl.key

# openssl genrsa -des3 -out ssl.any.com.key 2048

上記コマンドを実行するとカレントディレクトリにkeyファイルが作成される。

keyファイルの確認 †

# openssl rsa -text -noout -in ssl.any.com.key

csrファイルの作成 †

# openssl req -new -key ssl.any.com.key -out ../ssl.csr/ssl.any.com.csr

# openssl req -new -key ssl.any.com.key -out ../ssl.csr/ssl.any.com.csr -sha256
デフォルトでsha1になっているので、今後はsha256を使用する。

上記コマンドはカレントディレクトリ上のkeyファイルを元に、ssl.csrディレクトリ配下にcsrを作成する。

csrの内容を確認 †

# openssl req -text -noout -in ssl.any.com.csr

keyファイルのパスフレーズ解除 †

# cp ssl.any.com.key ssl.any.com.key.org

# openssl rsa -in ssl.any.com.key -out ssl.any.com.key

中間証明書、クロスルート証明書について †

中間証明書はベリサイン等が定期的に変更してくるので、自分の契約したプランのものをサイトから直接コピペしてくる。
同じくクロスルート証明書もコピペしてくる。

・ベリサイン
中間証明書、クロスルート証明書
https://www.verisign.co.jp/repository/intermediate.html

apacheに中間証明書、クロスルート証明書を設置 †

中間証明書とクロスルート証明書の書き方には注意が必要。
まず、クロスルート証明書とは何か？
→古いブラウザなどには新しいルート証明書が用意されていない場合に必要。
例えばアップデート出来ないwindows環境でIE6をいまだに使用している場合や、古い携帯端末などを使用している場合などは、SSLの警告が出てしまう。
これを古いルート証明書でも互換を持たせ、警告が出ないようにさせるために必要となる。

書き方は簡単なのだが、間違えてしまった場合エラーが出てしまい意味を持たなくなってしまうので注意が必要。

書き方

# vi server.chain.pem
-----BEGIN CERTIFICATE-----
       中間証明書
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
    クロスルート証明書
-----END CERTIFICATE-----

証明書自体の名前は適当に。
書き方は上に中間証明書、下にクロスルート証明書の順。
一枚のファイルに2枚続けて書く。
以上で完了。

certsファイルの確認 †

コモンネーム(CN)のチェック

# openssl x509 -in server.crt -noout -subject
subject= /C=JP/ST=Tokyo/L=Chiyoda-ku/O=check.jitaku-svr.info/OU=check.jitaku-svr.info/CN=check.jitaku-svr.info

有効期限のチェック

# openssl x509 -in server.crt -noout -dates
notBefore=Jul 7 22:04:55 2013 GMT
notAfter=Jul 5 22:04:55 2023 GMT

参考URL
http://jp.globalsign.com/support/index.php?action=artikel&cat=4&id=18&artlang=ja
http://d.hatena.ne.jp/install-memo/20110906/1315291837