サーバ用証明書の作成

????????????????????¨????°???¨??§????????°???????¨??????￢???????????°?????±??????????????§??????

このスレッドはクローズされています。記事の閲覧のみとなります。

サーバ用証明書の作成

????????? 2005/09/05 02:34
????????? あおじし <[email protected]>

こちらのサイトでいつもお世話になっています。「サーバ用証明書の作成」で Write out database with 1 new entries Data Base Updated CA verifying: server.crt <-> CA cert 「server.crt: /C=JP/ST=・・・・・　　error 18 at 0 depth lookup:self signed certificate /C=JP/ST=・・・・・　　error 7 at 0 depth lookup:certificate signature failure」 [CA verifying: server.crt <-> CA cert]の後に”server.crt: OK”とならず上記の「」内のコメントが出て「サーバ用証明書の作成」に失敗したようですが、原因が解りません。自分なりに判断すると、１・以前に一度サーバーキーで失敗した。２・「サーバ用証明書の作成」で入力ミスしたことがある。３・まだＷｅｂページを作っていない。等が考えられますが、「３」が原因でしょうか？それともほかに？今回は注意深く入力出来たので自信があったんですが。やっぱり「サーバ用証明書の作成」が出来てないと、メールサーバーも出来ませんよね？是非アドバイスを期待してます。

■ コンテンツ関連情報

Re: サーバ用証明書の作成 ( No.1 )

????????? 2005/09/05 10:43
????????? 管理者

> １・以前に一度サーバーキーで失敗した。 > ２・「サーバ用証明書の作成」で入力ミスしたことがある。 > ３・まだＷｅｂページを作っていない。 > 等が考えられますが、「３」が原因でしょうか？それともほかに？ Webページを作っていなくても、証明書は作成できるはずです。推測で申し訳ないのですが、証明書や鍵を作成した場所(当サイトの紹介通りにされていたなら「/etc/httpd/conf」です)にCA局DBが余計なデータを保持しているのではないでしょうか？一度、「/etc/httpd/conf」にある「ca.*」(ディレクトリおよびファイル)と「server.*」を削除し、作成してみてください。事によったら、作成できるかもしれません。ちなみに、CA用のパスフレーズとサーバ用のパスフレーズは違う物にしてください。 > 今回は注意深く入力出来たので自信があったんですが。やっぱり「サーバ用証明書の作成」が出来てないと、メールサーバーも出来ませんよね？メールの送受信に使うプロトコル「smtps：465番」と「pop3s：995番」で無ければ作成しなくてもメールサーバは構築できます。この場合、プロトコルは通常の「smtp：25番」と「pop3：110番」になります。

Re: サーバ用証明書の作成 ( No.2 )

????????? 2005/09/05 13:15
????????? あおじし <[email protected]>

管理者様ありがとうございます。前回はPerlのJcodeインストールでお世話になりました。 ”証明書や鍵を作成した場所(当サイトの紹介通りにされていたなら「/etc/httpd/conf」です)にCA局DBが余計なデータを保持しているのではないでしょうか？” この件は私が一番気になってるんですが、別のサイトを参考にして [root@*** ~]# cd /etc/pki/tls/certs [root@*** certs]# make server.key となっていて、作成ディレクトリが違うのと、[/etc/http/]に対して[/etc/pki/]で [root@*** certs]# vi /etc/httpd/conf.d/ssl.conf で「ＳＳＬ設定」を編集しようとすると SSLCertificateFile /etc/httpd/conf/ssl.crt/server.crt ↓ SSLCertificateFile /etc/httpd/conf/server.pem の様な説明があるんですが、”ssl.conf”の中身には、pathがすべて"/etchttp/.."ではなく"/etc/pki/..."になっているので、編集できずに質問してみましたが、レスがつきませんでした。そこで再セットアップしてやったのでそのときのデータなどが残っているのではと気になっていました。ご指摘の”「ca.*」(ディレクトリおよびファイル)と「server.*」を削除”と、あるのは # ls -l　 -rw-r--r--　1 root root　1326　9月　5 01:34 ca.crt drwxr-xr-x　2 root root　4096　9月　5 01:52 ca.db.certs -rw-r--r--　1 root root　 129　9月　5 01:52 ca.db.index -rw-r--r--　1 root root　　21　9月　5 01:52 ca.db.index.attr -rw-r--r--　1 root root　　 3　9月　5 01:52 ca.db.serial -rw-r--r--　1 root root　 963　9月　5 01:27 ca.key -rw-r--r--　1 root root 33141　9月　5 00:23 httpd.conf -rw-r--r--　1 root root 12958　7月 26 19:14 magic -rw-r--r--　1 root root　2721　9月　5 01:52 server.crt -rw-r--r--　1 root root　 712　9月　5 01:45 server.csr -rw-r--r--　1 root root　 887　9月　5 01:47 server.key -rw-r--r--　1 root root　 963　9月　5 01:46 server.key.bak 「CA用のパスフレーズとサーバ用のパスフレーズは違う物」と、ありますのでこの中の「ca.＊」６個　「server.＊」４個　すべてを削除するんですか？削除した後は「mod_ssl」のインストールからのやり直しですか？ ”メールの送受信に使うプロトコル「smtps：465番」と「pop3s：995番」で無ければ作成しなくてもメールサーバは構築できます。この場合、プロトコルは通常の「smtp：25番」と「pop3：110番」になります。” ｓｍｔｐ　と　ｐｏｐ３　を使う予定ですが、そのときに確か「ＳＳＬ認証で」「サーバー証明書」が求められると思うんですが、「ＳＳＬ認証で」なしでも大丈夫ですか？長々とすみませんが、宜しくお願いします。

Re: サーバ用証明書の作成 ( No.3 )

????????? 2005/09/05 13:51
????????? 管理者

> この件は私が一番気になってるんですが、別のサイトを参考にして > [root@*** ~]# cd /etc/pki/tls/certs > [root@*** certs]# make server.key > となっていて、作成ディレクトリが違うのと、[/etc/http/]に対して[/etc/pki/]で > [root@*** certs]# vi /etc/httpd/conf.d/ssl.conf で「ＳＳＬ設定」を編集しようとすると > SSLCertificateFile /etc/httpd/conf/ssl.crt/server.crt > ↓ > SSLCertificateFile /etc/httpd/conf/server.pem > の様な説明があるんですが、”ssl.conf”の中身には、pathがすべて"/etchttp/.."ではなく"/etc/pki/..."になっているので、編集できずに質問してみましたが、レスがつきませんでした。そこで再セットアップしてやったのでそのときのデータなどが残っているのではと気になっていました。証明書と鍵の作成場所はどこでも構いません。勿論、apache設定ファイル内のファイル場所は正しく設定しないといけませんが・・・ > ご指摘の”「ca.*」(ディレクトリおよびファイル)と「server.*」を削除”と、あるのは > # ls -l　 > -rw-r--r--　1 root root　1326　9月　5 01:34 ca.crt > drwxr-xr-x　2 root root　4096　9月　5 01:52 ca.db.certs > -rw-r--r--　1 root root　 129　9月　5 01:52 ca.db.index > -rw-r--r--　1 root root　　21　9月　5 01:52 ca.db.index.attr > -rw-r--r--　1 root root　　 3　9月　5 01:52 ca.db.serial > -rw-r--r--　1 root root　 963　9月　5 01:27 ca.key > -rw-r--r--　1 root root 33141　9月　5 00:23 httpd.conf > -rw-r--r--　1 root root 12958　7月 26 19:14 magic > -rw-r--r--　1 root root　2721　9月　5 01:52 server.crt > -rw-r--r--　1 root root　 712　9月　5 01:45 server.csr > -rw-r--r--　1 root root　 887　9月　5 01:47 server.key > -rw-r--r--　1 root root　 963　9月　5 01:46 server.key.bak > 「CA用のパスフレーズとサーバ用のパスフレーズは違う物」と、ありますので > この中の「ca.＊」６個　「server.＊」４個　すべてを削除するんですか？そうです。ただし「ca.db.certs」はディレクトリなので、削除するときは「rm -rf ca.*」で"r"オプションを付けて下さい。 (削除する場合はくれぐれも気を付けて下さい。「rm -r ca.*」で、一つずつ確認した方が無難かも。) > 削除した後は「mod_ssl」のインストールからのやり直しですか？「mod_ssl」は、インストール済みなので行う必要はありません。当サイトの説明であれば、「http://kajuhome.com/apache_ssl.shtml#n03」から行ってください。 >> ”メールの送受信に使うプロトコル「smtps：465番」と「pop3s：995番」で無ければ作成しなくてもメールサーバは構築できます。 > この場合、プロトコルは通常の「smtp：25番」と「pop3：110番」になります。” > ｓｍｔｐ　と　ｐｏｐ３　を使う予定ですが、そのときに確か「ＳＳＬ認証で」「サーバー証明書」が求められると思うんですが、「ＳＳＬ認証で」なしでも大丈夫ですか？「smtp」と「pop3」であれば、求められないと思うのですが・・・

Re: サーバ用証明書の作成 ( No.4 )

????????? 2005/09/05 15:43
????????? あおじし <[email protected]>

ありがとうございます。「証明書と鍵の作成場所はどこでも構いません。勿論、apache設定ファイル内のファイル場所は正しく設定しないといけませんが・・・」私もそう思うのですが現実開いた中身は指導のものとは違ってました、不思議です。ご指示の方法でやってみますが、CA局DBが余計なデータを保持していなければいいのですが。結果はまた書き込みます。

Re: サーバ用証明書の作成 ( No.5 )

????????? 2005/09/05 19:18
????????? あおじし <[email protected]>

管理者様、こんばんは、あおじしです。作業に入る前にひとつ質問です。「ＳＳＬ設定ファイル」は「mod_ssl」をインストールした時点で入っているものですか？実は作業の前に現在のファイルを保存しておこうと思いじっこうして内容を再確認していて気になる部分がを下に記します。１．[Server.crt]？に関する記述 [管理人様サイト] #　 Server Certificate: #　 Point SSLCertificateFile at a PEM encoded certificate.　If #　 the certificate is encrypted, then you will be prompted for a #　 pass phrase.　Note that a kill -HUP will prompt again. A test #　 certificate can be generated with `make certificate' under #　 built time. Keep in mind that if you've both a RSA and a DSA #　 certificate you can configure both in parallel (to also allow #　 the use of DSA ciphers, etc.) SSLCertificateFile /etc/httpd/conf/server.crt [あおじしファイル] #　 Server Certificate #　 Point SSLCertificateFile at a PEM encoded certificate.　If #　 the certificate is encrypted, then you will be prompted for a #　 pass phrase.　Note that a kill -HUP will prompt again.　A new #　 certificate can be generated using the genkey(1) command. SSLCertificateFile /etc/pki/tls/certs/localhost.crt ２．[さーばー公開鍵]に関する記述 [管理人様サイト] #　 Server Private Key: #　 If the key is not combined with the certificate, use this #　 directive to point at the key file.　Keep in mind that if #　 you've both a RSA and a DSA private key you can configure #　 both in parallel (to also allow the use of DSA ciphers, etc.) SSLCertificateKeyFile /etc/pki/tls/private/localhost.key [あおじしファイル] #　 Server Private Key: #　 If the key is not combined with the certificate, use this #　 directive to point at the key file.　Keep in mind that if #　 you've both a RSA and a DSA private key you can configure #　 both in parallel (to also allow the use of DSA ciphers, etc.) SSLCertificateKeyFile /etc/httpd/conf/server.key というようなものですが２．Server Private Key:に関しては記述部分は全く一緒なのですが、１．Server Certificate　の　[-HUP will prompt again.]の後が [A test ertificate can be generated] に対して [A new ertificate can be generated]になっている点が気になります。このことで、私のファイルは [using the genkey(1) command.]で終わっている。まだ、初心者の私には解読できません。

Re: サーバ用証明書の作成 ( No.6 )

????????? 2005/09/05 22:13
????????? 管理者

遅くなりました。紹介当時(Fedora Core2)の時のapache Version(正確にはリビジョン)が古い時のコメントはこうなっていました。現在のコメントは「A new ertificate can be generated」になっています。「kill -HUP」とは、簡単に言うと変更した場合、プロセスを再起動して下さいと言う意味です。証明書・鍵を変更したら、プロセスを再起動しないと有効になりません。ちなみに、サンプルの証明書の場所は「/etc/pki/tls/certs/localhost.crt」、キーは「/etc/pki/tls/private/localhost.key」となっていますが、私の場合、 apache系統に纏めておきたい(場所を分散したくない)意味から、双方の格納場所を「/etc/httpd/conf/」配下にまとめた次第です。追伸. genkeyでもServer Certificate(サーバ証明書)を作る事が可能です。ですので、あまり気になさらなくてもいいと思いますよ。

Re: サーバ用証明書の作成 ( No.7 )

????????? 2005/09/06 00:17
????????? あおじし <[email protected]>

管理人様お手数をかけて申し訳ありません。「apache Version(正確にはリビジョン)が古い時のコメントはこうなっていました。」ということは「httpd」をインストールした時点で「設定ファイル」が違うということですね。「genkeyでもServer Certificate(サーバ証明書)を作る事が可能です。」 [root@fedora conf]# openssl genrsa -des3 -out server.key -rand rand.dat 1024 このコマンドから　[genkey]=[server.key]　と考えていいんですか？少しこれまでの経緯を整理してみると１．Webページを作っていなくても、証明書は作成できる。２．証明書と鍵の作成場所はどこでも構わない。３．apache設定ファイル内のファイル場所は正しく設定すること。４．[apache]install時点で「ＳＳＬ設定」ファイルも存在する。以上のことをふまえてもう一度挑戦してみます。ちなみに「ＦＣ４」のなかに古いバージョンの「ｈｔｔｐｄ」はインストールできますか？自分で解決出来なければこの方法も考えてみます。

Re: サーバ用証明書の作成 ( No.8 )

????????? 2005/09/06 09:52
????????? 管理者

> ３．apache設定ファイル内のファイル場所は正しく設定すること。誤解を生まない様に補足致しますが「SSL」設定は正確にはapache設定ファイルではありません。 apacheの組み込みモジュール設定ファイルになります。組み込みモジュールの場所は本来のapache設定ファイル「/etc/httpd/conf/httpd.conf」内に存在する下記の部分のパスになります。 # # Load config files from the config directory "/etc/httpd/conf.d". # Include conf.d/*.conf 上記だと「/etc/httpd/」から相対パスになるので、絶対パスは「/etc/httpd/conf.d/」になります。この中に、「ssl.conf」があるので、これがapache組み込みモジュールのssl設定ファイルになります。 > ４．[apache]install時点で「ＳＳＬ設定」ファイルも存在する。これは誤りです。apacheでSSL通信するには「mod_ssl」をインストールする必要があります。 > 以上のことをふまえてもう一度挑戦してみます。ちなみに「ＦＣ４」のなかに古いバージョンの「ｈｔｔｐｄ」はインストールできますか？バージョン？ですか？apacheのバージョンは、1.3系と2.0系の2種類があり、FC4のデフォルトは2.0系です。 FC4に1.3系をインストールできるのか？(正常に動作するのか？)は不明です。もしリビジョンの事を仰っているならば、古い、rpmパッケージやソースコードがあれば勿論インストールできます。ただし、リビジョンが上がる訳には、セキュリティの虚弱性やバグ等の理由なので無闇に低いリビジョンを使用するのは良くないと思いますよ。

Re: サーバ用証明書の作成 ( No.9 )

????????? 2005/09/07 00:14
????????? あおじし <[email protected]>

管理者様、頭が下がります、いろいろと丁寧な指導に感謝しています。前回の書き込みの後、早速実行に移し、すべての関連ファイルを削除して０からＨＴＴＰＤのインストールからやり直しました。１．ＦＣ２のＨＴＴＰＤはＦＣ４のＣＤＲＯＭを要求され無理でした。２．ｙｕｍでＨＴＴＰＤをインストール[バージョンhttpd-2.0.54-10.1]で頭の部分が 1:2 と 2 で違いを確認。これが１.3系と２.0系だということを今日の返信で初めて知りました。３．ＨＴＴＰＤをインストール４．Ｍｏｄ＿ＳＳＬをインストール後の関連ファイルの位置を確認 [root@coco ~]# ls –l httpd & mod_ssl 関連なし [root@coco ~]# cd /etc/pki/tls/certs [root@coco certs]# ls –l httpd & mod_ssl 関連 3 rw-r--r--　1 root root　 2240　5月 19 18:35 Makefile -rw-r--r--　1 root root 427833　5月 19 18:35 ca-bundle.crt -rw-------　1 root root　 1452　9月　5 01:05 localhost.crt 空 -rw-r--r--　1 root root　　610　5月 19 18:35 make-dummy-cert [root@coco certs]# ls -l /etc/httpd/ httpd & mod_ssl 関連　合計 8 drwxr-xr-x　2 root root 4096　9月　6 01:36 conf Directory drwxr-xr-x　2 root root 4096　9月　6 02:15 conf.d Directory lrwxrwxrwx　1 root root　 19　9月　6 01:23 logs -> ../../var/log/httpd lrwxrwxrwx　1 root root　 27　9月　6 01:23 modules -> ../../usr/lib/httpd/modules lrwxrwxrwx　1 root root　 13　9月　6 01:23 run -> ../../var/run [root@coco certs]# ls -l /etc/httpd/conf/ 合計 52 -rw-r--r--　1 root root 33137　9月　6 01:36 httpd.conf 編集済み -rw-r--r--　1 root root 12958　7月 26 19:14 magic [root@coco conf.d]# ls -l 合計 24 -rw-r--r--　1 root root　392　7月 26 19:14 README -rw-r--r--　1 root root　560　8月 17 22:55 php.conf -rw-r--r--　1 root root 9799　7月 26 19:14 ssl.conf SSL設定ファイル -rw-r--r--　1 root root　299　7月 26 19:14 welcome.conf 「SSL設定ファイル」の位置は /etc/httpd/conf/httpd/conf.d/ssl.conf だと確認できました。これにより管理者様の１番目の解説を確認し理解できたと思います。結論として当サイトの「SSL設定ファイル」の編集指摘部分を私の設定ファイルにも提要してみようと思います。長々とありがとうございました。この後もまた、何かあればお世話になります。

Re: サーバ用証明書の作成 ( No.10 )

????????? 2005/09/07 18:24
????????? あおじし <[email protected]>

管理人者様、本当にありがとうございました。やはりバージョンの違いでうまくいかなかったようです。再度、ＦＣ４を利用のサイトでのチャレンジを試みました。ＳＳＬ設定ファイルの違いがありましたのでしょう、ファイルを開くコマンドを実行したら「注意！　末サポ＾トのエスケープシーケンスを見つけました。 ESC [?12:25h」というコメントが出てきましたが、次回から表示しないにチェック入れて編集を実行し「ｈｔｔｐｄ］を再起動させたあと　https://IPAdd/でうまくセキュリティのダイアログも出て　ａｐａｃｈｅのページを開くことが出来ました。長い間対応いただきありがとうございました。＊追記このスレッドを終了したいのですが、レンチアイコンがどこにあるのか判りません。

Re: サーバ用証明書の作成 ( No.11 )

????????? 2005/09/07 20:35
????????? 管理者

>> あおじし様解決出来てよかったです。レンチアイコンは親スレッドの右下に小さく表示されています。

■ その他

ページ先頭へ

Re: サーバ用証明書の作成 ( No.1 )
????????? 2005/09/05 10:43 ????????? 管理者 > １・以前に一度サーバーキーで失敗した。 > ２・「サーバ用証明書の作成」で入力ミスしたことがある。 > ３・まだＷｅｂページを作っていない。 > 等が考えられますが、「３」が原因でしょうか？それともほかに？ Webページを作っていなくても、証明書は作成できるはずです。推測で申し訳ないのですが、証明書や鍵を作成した場所(当サイトの紹介通りにされていたなら「/etc/httpd/conf」です)にCA局DBが余計なデータを保持しているのではないでしょうか？一度、「/etc/httpd/conf」にある「ca.」(ディレクトリおよびファイル)と「server.」を削除し、作成してみてください。事によったら、作成できるかもしれません。ちなみに、CA用のパスフレーズとサーバ用のパスフレーズは違う物にしてください。 > 今回は注意深く入力出来たので自信があったんですが。やっぱり「サーバ用証明書の作成」が出来てないと、メールサーバーも出来ませんよね？メールの送受信に使うプロトコル「smtps：465番」と「pop3s：995番」で無ければ作成しなくてもメールサーバは構築できます。この場合、プロトコルは通常の「smtp：25番」と「pop3：110番」になります。
Re: サーバ用証明書の作成 ( No.2 )
????????? 2005/09/05 13:15 ????????? あおじし <[email protected]> 管理者様ありがとうございます。前回はPerlのJcodeインストールでお世話になりました。 ”証明書や鍵を作成した場所(当サイトの紹介通りにされていたなら「/etc/httpd/conf」です)にCA局DBが余計なデータを保持しているのではないでしょうか？” この件は私が一番気になってるんですが、別のサイトを参考にして [root@* ~]# cd /etc/pki/tls/certs [root@* certs]# make server.key となっていて、作成ディレクトリが違うのと、[/etc/http/]に対して[/etc/pki/]で [root@*** certs]# vi /etc/httpd/conf.d/ssl.conf で「ＳＳＬ設定」を編集しようとすると SSLCertificateFile /etc/httpd/conf/ssl.crt/server.crt ↓ SSLCertificateFile /etc/httpd/conf/server.pem の様な説明があるんですが、”ssl.conf”の中身には、pathがすべて"/etchttp/.."ではなく"/etc/pki/..."になっているので、編集できずに質問してみましたが、レスがつきませんでした。そこで再セットアップしてやったのでそのときのデータなどが残っているのではと気になっていました。ご指摘の”「ca.」(ディレクトリおよびファイル)と「server.」を削除”と、あるのは # ls -l　 -rw-r--r--　1 root root　1326　9月　5 01:34 ca.crt drwxr-xr-x　2 root root　4096　9月　5 01:52 ca.db.certs -rw-r--r--　1 root root　 129　9月　5 01:52 ca.db.index -rw-r--r--　1 root root　　21　9月　5 01:52 ca.db.index.attr -rw-r--r--　1 root root　　 3　9月　5 01:52 ca.db.serial -rw-r--r--　1 root root　 963　9月　5 01:27 ca.key -rw-r--r--　1 root root 33141　9月　5 00:23 httpd.conf -rw-r--r--　1 root root 12958　7月 26 19:14 magic -rw-r--r--　1 root root　2721　9月　5 01:52 server.crt -rw-r--r--　1 root root　 712　9月　5 01:45 server.csr -rw-r--r--　1 root root　 887　9月　5 01:47 server.key -rw-r--r--　1 root root　 963　9月　5 01:46 server.key.bak 「CA用のパスフレーズとサーバ用のパスフレーズは違う物」と、ありますのでこの中の「ca.＊」６個　「server.＊」４個　すべてを削除するんですか？削除した後は「mod_ssl」のインストールからのやり直しですか？ ”メールの送受信に使うプロトコル「smtps：465番」と「pop3s：995番」で無ければ作成しなくてもメールサーバは構築できます。この場合、プロトコルは通常の「smtp：25番」と「pop3：110番」になります。” ｓｍｔｐ　と　ｐｏｐ３　を使う予定ですが、そのときに確か「ＳＳＬ認証で」「サーバー証明書」が求められると思うんですが、「ＳＳＬ認証で」なしでも大丈夫ですか？長々とすみませんが、宜しくお願いします。
Re: サーバ用証明書の作成 ( No.3 )
????????? 2005/09/05 13:51 ????????? 管理者 > この件は私が一番気になってるんですが、別のサイトを参考にして > [root@* ~]# cd /etc/pki/tls/certs > [root@* certs]# make server.key > となっていて、作成ディレクトリが違うのと、[/etc/http/]に対して[/etc/pki/]で > [root@*** certs]# vi /etc/httpd/conf.d/ssl.conf で「ＳＳＬ設定」を編集しようとすると > SSLCertificateFile /etc/httpd/conf/ssl.crt/server.crt > ↓ > SSLCertificateFile /etc/httpd/conf/server.pem > の様な説明があるんですが、”ssl.conf”の中身には、pathがすべて"/etchttp/.."ではなく"/etc/pki/..."になっているので、編集できずに質問してみましたが、レスがつきませんでした。そこで再セットアップしてやったのでそのときのデータなどが残っているのではと気になっていました。証明書と鍵の作成場所はどこでも構いません。勿論、apache設定ファイル内のファイル場所は正しく設定しないといけませんが・・・ > ご指摘の”「ca.」(ディレクトリおよびファイル)と「server.」を削除”と、あるのは > # ls -l　 > -rw-r--r--　1 root root　1326　9月　5 01:34 ca.crt > drwxr-xr-x　2 root root　4096　9月　5 01:52 ca.db.certs > -rw-r--r--　1 root root　 129　9月　5 01:52 ca.db.index > -rw-r--r--　1 root root　　21　9月　5 01:52 ca.db.index.attr > -rw-r--r--　1 root root　　 3　9月　5 01:52 ca.db.serial > -rw-r--r--　1 root root　 963　9月　5 01:27 ca.key > -rw-r--r--　1 root root 33141　9月　5 00:23 httpd.conf > -rw-r--r--　1 root root 12958　7月 26 19:14 magic > -rw-r--r--　1 root root　2721　9月　5 01:52 server.crt > -rw-r--r--　1 root root　 712　9月　5 01:45 server.csr > -rw-r--r--　1 root root　 887　9月　5 01:47 server.key > -rw-r--r--　1 root root　 963　9月　5 01:46 server.key.bak > 「CA用のパスフレーズとサーバ用のパスフレーズは違う物」と、ありますので > この中の「ca.＊」６個　「server.＊」４個　すべてを削除するんですか？そうです。ただし「ca.db.certs」はディレクトリなので、削除するときは「rm -rf ca.」で"r"オプションを付けて下さい。 (削除する場合はくれぐれも気を付けて下さい。「rm -r ca.」で、一つずつ確認した方が無難かも。) > 削除した後は「mod_ssl」のインストールからのやり直しですか？「mod_ssl」は、インストール済みなので行う必要はありません。当サイトの説明であれば、「http://kajuhome.com/apache_ssl.shtml#n03」から行ってください。 >> ”メールの送受信に使うプロトコル「smtps：465番」と「pop3s：995番」で無ければ作成しなくてもメールサーバは構築できます。 > この場合、プロトコルは通常の「smtp：25番」と「pop3：110番」になります。” > ｓｍｔｐ　と　ｐｏｐ３　を使う予定ですが、そのときに確か「ＳＳＬ認証で」「サーバー証明書」が求められると思うんですが、「ＳＳＬ認証で」なしでも大丈夫ですか？「smtp」と「pop3」であれば、求められないと思うのですが・・・
Re: サーバ用証明書の作成 ( No.4 )
????????? 2005/09/05 15:43 ????????? あおじし <[email protected]> `ありがとうございます。「証明書と鍵の作成場所はどこでも構いません。勿論、apache設定ファイル内のファイル場所は正しく設定しないといけませんが・・・」私もそう思うのですが現実開いた中身は指導のものとは違ってました、不思議です。ご指示の方法でやってみますが、CA局DBが余計なデータを保持していなければいいのですが。結果はまた書き込みます。`
Re: サーバ用証明書の作成 ( No.5 )
????????? 2005/09/05 19:18 ????????? あおじし <[email protected]> 管理者様、こんばんは、あおじしです。作業に入る前にひとつ質問です。「ＳＳＬ設定ファイル」は「mod_ssl」をインストールした時点で入っているものですか？実は作業の前に現在のファイルを保存しておこうと思いじっこうして内容を再確認していて気になる部分がを下に記します。１．[Server.crt]？に関する記述 [管理人様サイト] #　 Server Certificate: #　 Point SSLCertificateFile at a PEM encoded certificate.　If #　 the certificate is encrypted, then you will be prompted for a #　 pass phrase.　Note that a kill -HUP will prompt again. A test #　 certificate can be generated with `make certificate' under #　 built time. Keep in mind that if you've both a RSA and a DSA #　 certificate you can configure both in parallel (to also allow #　 the use of DSA ciphers, etc.) SSLCertificateFile /etc/httpd/conf/server.crt [あおじしファイル] #　 Server Certificate #　 Point SSLCertificateFile at a PEM encoded certificate.　If #　 the certificate is encrypted, then you will be prompted for a #　 pass phrase.　Note that a kill -HUP will prompt again.　A new #　 certificate can be generated using the genkey(1) command. SSLCertificateFile /etc/pki/tls/certs/localhost.crt ２．[さーばー公開鍵]に関する記述 [管理人様サイト] #　 Server Private Key: #　 If the key is not combined with the certificate, use this #　 directive to point at the key file.　Keep in mind that if #　 you've both a RSA and a DSA private key you can configure #　 both in parallel (to also allow the use of DSA ciphers, etc.) SSLCertificateKeyFile /etc/pki/tls/private/localhost.key [あおじしファイル] #　 Server Private Key: #　 If the key is not combined with the certificate, use this #　 directive to point at the key file.　Keep in mind that if #　 you've both a RSA and a DSA private key you can configure #　 both in parallel (to also allow the use of DSA ciphers, etc.) SSLCertificateKeyFile /etc/httpd/conf/server.key というようなものですが２．Server Private Key:に関しては記述部分は全く一緒なのですが、１．Server Certificate　の　[-HUP will prompt again.]の後が [A test ertificate can be generated] に対して [A new ertificate can be generated]になっている点が気になります。このことで、私のファイルは [using the genkey(1) command.]で終わっている。まだ、初心者の私には解読できません。
Re: サーバ用証明書の作成 ( No.6 )
????????? 2005/09/05 22:13 ????????? 管理者遅くなりました。紹介当時(Fedora Core2)の時のapache Version(正確にはリビジョン)が古い時のコメントはこうなっていました。現在のコメントは「A new ertificate can be generated」になっています。「kill -HUP」とは、簡単に言うと変更した場合、プロセスを再起動して下さいと言う意味です。証明書・鍵を変更したら、プロセスを再起動しないと有効になりません。ちなみに、サンプルの証明書の場所は「/etc/pki/tls/certs/localhost.crt」、キーは「/etc/pki/tls/private/localhost.key」となっていますが、私の場合、 apache系統に纏めておきたい(場所を分散したくない)意味から、双方の格納場所を「/etc/httpd/conf/」配下にまとめた次第です。追伸. genkeyでもServer Certificate(サーバ証明書)を作る事が可能です。ですので、あまり気になさらなくてもいいと思いますよ。
Re: サーバ用証明書の作成 ( No.7 )
????????? 2005/09/06 00:17 ????????? あおじし <[email protected]> 管理人様お手数をかけて申し訳ありません。「apache Version(正確にはリビジョン)が古い時のコメントはこうなっていました。」ということは「httpd」をインストールした時点で「設定ファイル」が違うということですね。「genkeyでもServer Certificate(サーバ証明書)を作る事が可能です。」 [root@fedora conf]# openssl genrsa -des3 -out server.key -rand rand.dat 1024 このコマンドから　[genkey]=[server.key]　と考えていいんですか？少しこれまでの経緯を整理してみると１．Webページを作っていなくても、証明書は作成できる。２．証明書と鍵の作成場所はどこでも構わない。３．apache設定ファイル内のファイル場所は正しく設定すること。４．[apache]install時点で「ＳＳＬ設定」ファイルも存在する。以上のことをふまえてもう一度挑戦してみます。ちなみに「ＦＣ４」のなかに古いバージョンの「ｈｔｔｐｄ」はインストールできますか？自分で解決出来なければこの方法も考えてみます。
Re: サーバ用証明書の作成 ( No.8 )
????????? 2005/09/06 09:52 ????????? 管理者 > ３．apache設定ファイル内のファイル場所は正しく設定すること。誤解を生まない様に補足致しますが「SSL」設定は正確にはapache設定ファイルではありません。 apacheの組み込みモジュール設定ファイルになります。組み込みモジュールの場所は本来のapache設定ファイル「/etc/httpd/conf/httpd.conf」内に存在する下記の部分のパスになります。 # # Load config files from the config directory "/etc/httpd/conf.d". # Include conf.d/*.conf 上記だと「/etc/httpd/」から相対パスになるので、絶対パスは「/etc/httpd/conf.d/」になります。この中に、「ssl.conf」があるので、これがapache組み込みモジュールのssl設定ファイルになります。 > ４．[apache]install時点で「ＳＳＬ設定」ファイルも存在する。これは誤りです。apacheでSSL通信するには「mod_ssl」をインストールする必要があります。 > 以上のことをふまえてもう一度挑戦してみます。ちなみに「ＦＣ４」のなかに古いバージョンの「ｈｔｔｐｄ」はインストールできますか？バージョン？ですか？apacheのバージョンは、1.3系と2.0系の2種類があり、FC4のデフォルトは2.0系です。 FC4に1.3系をインストールできるのか？(正常に動作するのか？)は不明です。もしリビジョンの事を仰っているならば、古い、rpmパッケージやソースコードがあれば勿論インストールできます。ただし、リビジョンが上がる訳には、セキュリティの虚弱性やバグ等の理由なので無闇に低いリビジョンを使用するのは良くないと思いますよ。
Re: サーバ用証明書の作成 ( No.9 )
????????? 2005/09/07 00:14 ????????? あおじし <[email protected]> 管理者様、頭が下がります、いろいろと丁寧な指導に感謝しています。前回の書き込みの後、早速実行に移し、すべての関連ファイルを削除して０からＨＴＴＰＤのインストールからやり直しました。１．ＦＣ２のＨＴＴＰＤはＦＣ４のＣＤＲＯＭを要求され無理でした。２．ｙｕｍでＨＴＴＰＤをインストール[バージョンhttpd-2.0.54-10.1]で頭の部分が 1:2 と 2 で違いを確認。これが１.3系と２.0系だということを今日の返信で初めて知りました。３．ＨＴＴＰＤをインストール４．Ｍｏｄ＿ＳＳＬをインストール後の関連ファイルの位置を確認 [root@coco ~]# ls –l httpd & mod_ssl 関連なし [root@coco ~]# cd /etc/pki/tls/certs [root@coco certs]# ls –l httpd & mod_ssl 関連 3 rw-r--r--　1 root root　 2240　5月 19 18:35 Makefile -rw-r--r--　1 root root 427833　5月 19 18:35 ca-bundle.crt -rw-------　1 root root　 1452　9月　5 01:05 localhost.crt 空 -rw-r--r--　1 root root　　610　5月 19 18:35 make-dummy-cert [root@coco certs]# ls -l /etc/httpd/ httpd & mod_ssl 関連　合計 8 drwxr-xr-x　2 root root 4096　9月　6 01:36 conf Directory drwxr-xr-x　2 root root 4096　9月　6 02:15 conf.d Directory lrwxrwxrwx　1 root root　 19　9月　6 01:23 logs -> ../../var/log/httpd lrwxrwxrwx　1 root root　 27　9月　6 01:23 modules -> ../../usr/lib/httpd/modules lrwxrwxrwx　1 root root　 13　9月　6 01:23 run -> ../../var/run [root@coco certs]# ls -l /etc/httpd/conf/ 合計 52 -rw-r--r--　1 root root 33137　9月　6 01:36 httpd.conf 編集済み -rw-r--r--　1 root root 12958　7月 26 19:14 magic [root@coco conf.d]# ls -l 合計 24 -rw-r--r--　1 root root　392　7月 26 19:14 README -rw-r--r--　1 root root　560　8月 17 22:55 php.conf -rw-r--r--　1 root root 9799　7月 26 19:14 ssl.conf SSL設定ファイル -rw-r--r--　1 root root　299　7月 26 19:14 welcome.conf 「SSL設定ファイル」の位置は /etc/httpd/conf/httpd/conf.d/ssl.conf だと確認できました。これにより管理者様の１番目の解説を確認し理解できたと思います。結論として当サイトの「SSL設定ファイル」の編集指摘部分を私の設定ファイルにも提要してみようと思います。長々とありがとうございました。この後もまた、何かあればお世話になります。
Re: サーバ用証明書の作成 ( No.10 )
????????? 2005/09/07 18:24 ????????? あおじし <[email protected]> 管理人者様、本当にありがとうございました。やはりバージョンの違いでうまくいかなかったようです。再度、ＦＣ４を利用のサイトでのチャレンジを試みました。ＳＳＬ設定ファイルの違いがありましたのでしょう、ファイルを開くコマンドを実行したら「注意！　末サポ＾トのエスケープシーケンスを見つけました。 ESC [?12:25h」というコメントが出てきましたが、次回から表示しないにチェック入れて編集を実行し「ｈｔｔｐｄ］を再起動させたあと　https://IPAdd/でうまくセキュリティのダイアログも出て　ａｐａｃｈｅのページを開くことが出来ました。長い間対応いただきありがとうございました。＊追記このスレッドを終了したいのですが、レンチアイコンがどこにあるのか判りません。
Re: サーバ用証明書の作成 ( No.11 )
????????? 2005/09/07 20:35 ????????? 管理者 `>> あおじし様解決出来てよかったです。レンチアイコンは親スレッドの右下に小さく表示されています。`