- 2010-01-01 (Fri) 23:45
- Server Admin
あけましておめでとうございます。本年もどうぞよろしく。2009 年のまとめもせずに、本題に入ります。
僕は別のサイトで、CAcert.org を利用して、いわゆるオレオレ証明書ではない、https 通信を実現しています。利用者に root 証明書のインストールを要求するので、本質的にオレオレと変わりない、という批判は受け入れます。が、これ以降 CAcert がどう化けるかわかりませんし、証明書作成のプロセスの勉強にもなります。
なお本記事の多くは以下のページに依りました。
CACert.orgで無料のSSLサーバを動かすメモ [FreeBSD](fkimura.com)
今回は更新なので、domain の登録は済んでいるものとします。Domain の登録に必要なのは、メールアドレスだけです。
作業手順
- サーバ秘密鍵作成の作成
openssl genrsa -rand /var/log/messages -des3 -out /path/to/example.key 1024 54002 semi-random bytes loaded
パスワードは後で使うことは、あまり、ない。 - 証明書申請データの作成
openssl req -new -key /path/to/example.key -out /usr/local/etc/apache2/ssl.key/example.jp.csr
ここで唯一のハマりどころはCommon Name [CN] が、登録済みの domain と一致する必要がある、ということ。 - 証明書申請データを提出する
- (1)で作成したキーのパスフレーズを解除する
- 今回作成した 4 ファイルの permission を全て 600 にする
- httpd.conf をアップデート
fkimura.com に書いてあるそのままなんですが、あまりやらない作業はなんとなくやりたくない、という心理障壁になります。blog に書いておけば、また半年後やる時に、思い返せるでしょう。
というわけで本年もどうぞよろしく。
Comments:0
Trackbacks:0
- Trackback URL for this entry
- http://blog.nydd.org/2010/01/update-ssl-certificate/trackback/
- Listed below are links to weblogs that reference
- Update SSL Certificate from Vantage Point of Queens