StartComの証明書発行手順~サーバ監視サービス~
StartComのご紹介へ
手順1.サーバー用秘密鍵・証明書作成
ディレクトリ移動
]# cd /etc/pki/tls/certs/
秘密キー生成
]# openssl genrsa -des3 -out server.key 1024
Generating RSA private key, 1024 bit long modulus
.........................++++++
..........++++++
e is 65537 (0x10001)
Enter pass phrase for server.key:【任意のパスワードを入力】
Verifying - Enter pass phrase for server.key:【上記で入力したパスワードを再入力】
署名リクエスト生成
]# openssl req -new -key server.key -out server.csr
Enter pass phrase for server.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:JP【国名を入力】
State or Province Name (full name) [Berkshire]:Tokyo【都道府県を入力】
Locality Name (eg, city) [Newbury]:Minatoku【市区町村を入力】
Organization Name (eg, company) [My Company Ltd]:Icom Systech Co.,Ltd.【組織名を入力】
Organizational Unit Name (eg, section) []:newpj【組織単位名を入力】
Common Name (eg, your name or your server's hostname) []:iserver.icomsys.co.jp【認証するURLのドメイン名を入力】
Email Address []:kanshi_mem@icomsys.co.jp【メールアドレスを入力】
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:【未入力のままEnter】
An optional company name []:【未入力のままEnter】
]#
ここまでの注意点
- StartComの無料認証は、1サブドメインにつき、1認証しか行えません。
動作確認を行うつもりで、上記の組織名、メールアドレスなどを適当に設定すると(上記の例では、メールアドレスが適当)、適当な情報の証明書が発行され、再発行できなくなります。 - 【認証するURLのドメイン名を入力】のところで、認証したいURLと違ったもので証明書を作成すると、URL表示の際に「ssl_error_bad_cert_domain」というエラーが出ます。
手順2.StartCom にユーザ登録
「StartCom ユーザ登録」ページを参照
「StartCom ユーザ登録」ページへ
すでに登録済みの場合は、手順3へ。
手順3.証明書払い出し
「証明書払いだし」ページを参照
「証明書払いだし」ページへ
手順4.ルート証明書と中間証明局のcrtファイルを取得する
以下のURLから、それぞれダウンロード
中間認証局
http://www.startssl.com/certs/sub.class1.server.ca.crt
ルート証明書
http://www.startssl.com/certs/ca.crt
手順5.ssl.conf 編集
ディレクトリ移動
]# cd /etc/httpd/conf.d
ssl.conf 編集
]# vi ssl.conf
ssl.conf の、以下の値を設定する。
SSLCertificateFile /etc/pki/tls/certs/server.crt
SSLCertificateKeyFile /etc/pki/tls/certs/server.key
SSLCertificateChainFile /etc/pki/tls/certs/sub.class1.server.ca.cer
SSLCACertificateFile /etc/pki/tls/certs/ca.cer
手順6.必要なファイルの配置
手順1で作成した、server.keyのほかに、手順5で指定したファイルを
/etc/pki/tls/certs/
に配置する。
対象ファイルは以下のとおり
- 手順3 で作成した、server.crt ファイル
- 手順4 でダウンロードした、ca.crt ファイルと、sub.class1.server.ca.crt ファイル
手順7.Apache再起動
ssl.conf が正しいかどうかチェックする
/etc/rc.d/init.d/httpd configtest
ファイルの配置が不足していると、警告メッセージが出る。
Syntax OK と出たら、再起動。
/etc/rc.d/init.d/httpd restart
再起動中、以下の画面でとまる。
Enter pass phrase:
秘密鍵のパスワード(手順1.で指定した、任意のパスワード)を指定すれば、先に進む。
以上
