SSL

Apache+OpenSSLをご利用時に、Apache起動時のSSLのパスワードを取る方法

Posted by admin
9月 21, 2011

日本ベリサインで取得していただいた、秘密鍵をインストール後、アパッチの再起動を行うと、SSL起動時に毎回パスワードが聞かれます。
セキュリティはこちらの方が高いのですが、何かのタイミングで自動再起動した場合等に、wwwサーバーが起動しなくなりますので、注意が必要です。
そこで、以下の方法でパスワードなしで起動することが可能です。。
キーファイル名 2011key.pem からパスをとる方法をご紹介します。
2011key.pem はお客様の環境に応じて、変更してください。
# cd /etc/ssl/key ←カレントディレクトリをSSL鍵の位置へ移動
# /usr/bin/openssl rsa -in ./2011key.pem -out ./2011key_nopass.pem ←パスフレーズなしの鍵を生成:2011key_nopass.pemが生成されることになります。
#Enter pass phrase for ./2011key.pem: ←2011key.pemのパスワードを入力
writing RSA key
上記のコマンドで、2011key_nopass.pemが生成されますので、アパッチのhttpd.conf で指定されているkey.pemのファイル名を変更し、アパッチを再起動します。
この時、パスワード無しで、SSLが起動できているはずです。

SSL, サーバー管理

SSLの中間CA証明書(中間認証局)

Posted by admin
9月 26, 2008

ベリサインやサイバートラストのSSLを設置するときには、秘密鍵、取得(購入)したサーバー鍵(SSL証明書)の他に、中間CA証明書のインストールが必要になります。
当社のUNIX系サーバーは、Apache+mod_SSL になっていますので、
中間CA証明書のバス指定は、SSLCertificateChainFile として下さい。 あとはサーバー内に設置した中間CA認証局ファイルまでのパスを指定します。
《例》
SSLCertificateChainFile /usr/local/ssl/certs/ca.pem
▼ベリサインセキュアIDの中間CA証明書
https://www.verisign.co.jp/repository/intermediate/server/c3SecureServerCA_1024.html
▼サイバートラストの中間CA証明書
http://www.cybertrust.ne.jp/sureserver/download/ca.html

SSL,

ルート証明書2048bit対応のcsrファイルの作り方

Posted by admin
11月 30, 1999

ベリサインが今年中にすべてのSSLのルート証明書を2048bit対応にバージョンアップします。
それに対応して、csrも2048bitで生成する方法をお知らせします。一般のcsrも同様の方法で生成できます。
1.まずopensslの場所を調べます。
#which openssl
/usr/bin/openssl
2.カレントディレクトリを移動します。
#cd /usr/bin
3.秘密鍵作成のための擬似乱数の情報を生成します【無くてもできます】。
 ./openssl md5 * > rand.dat
4.作成した擬似乱数ファイル(rand.dat)から、秘密鍵を作成します。
トリプルDESを使い、2048bit の秘密鍵(ファイル名:key2011.pem)を作成する場合の例。2048bitであることが、ルート証明書の関係で重要です。
# ./openssl genrsa -rand rand.dat -des3 2048 > key2011.pem
57625 semi-random bytes loaded
Generating RSA private key, 2048 bit long modulus
……………………….+++
……………………………………………+++
e is 65537 (0×10001)
Enter pass phrase:
5.パスフレーズを求められますので、2回入力します。パスフレーズは忘れないように。後で必要になります。
Enter pass phrase:適当なパスワード
Verifying – Enter pass phrase:確認用の適当なパスワード
6.指定した名前でファイルができていることを確かめます。
#ls-la
-rw-r–r– 1 root root 1751 6月 23 13:52 key2011.pem
7.次に、csrファイルを生成します。
openssl req -new -key key2011.pem -out csr2011.pem
8.先ほどのパスフレーズを求められます。
Enter pass phrase for key2011.pem:
9.この後は、国、都道府県、市、組織名、コモンネームと順番に入力します。
You [...]

SSL