サーバ用証明書の作成

このスレッドはクローズされています。記事の閲覧のみとなります。

サーバ用証明書の作成

æ¥æï¼ 2005/09/05 02:34
ååï¼ あおじし <aojishi@po.people-i.ne.jp>

こちらのサイトでいつもお世話になっています。「サーバ用証明書の作成」で Write out database with 1 new entries Data Base Updated CA verifying: server.crt <-> CA cert 「server.crt: /C=JP/ST=・・・・・ error 18 at 0 depth lookup:self signed certificate /C=JP/ST=・・・・・ error 7 at 0 depth lookup:certificate signature failure」 [CA verifying: server.crt <-> CA cert]の後に”server.crt: OK”とならず上記の「」内のコメントが出て「サーバ用証明書の作成」に失敗したようですが、原因が解りません。自分なりに判断すると、１・以前に一度サーバーキーで失敗した。２・「サーバ用証明書の作成」で入力ミスしたことがある。３・まだＷｅｂページを作っていない。等が考えられますが、「３」が原因でしょうか？それともほかに？今回は注意深く入力出来たので自信があったんですが。やっぱり「サーバ用証明書の作成」が出来てないと、メールサーバーも出来ませんよね？是非アドバイスを期待してます。

Page: [1] [2] [3]

■ コンテンツ関連情報

Re: サーバ用証明書の作成 ( No.6 )

æ¥æï¼ 2005/09/05 22:13
ååï¼ 管理者

遅くなりました。紹介当時(Fedora Core2)の時のapache Version(正確にはリビジョン)が古い時のコメントはこうなっていました。現在のコメントは「A new ertificate can be generated」になっています。「kill -HUP」とは、簡単に言うと変更した場合、プロセスを再起動して下さいと言う意味です。証明書・鍵を変更したら、プロセスを再起動しないと有効になりません。ちなみに、サンプルの証明書の場所は「/etc/pki/tls/certs/localhost.crt」、キーは「/etc/pki/tls/private/localhost.key」となっていますが、私の場合、 apache系統に纏めておきたい(場所を分散したくない)意味から、双方の格納場所を「/etc/httpd/conf/」配下にまとめた次第です。追伸. genkeyでもServer Certificate(サーバ証明書)を作る事が可能です。ですので、あまり気になさらなくてもいいと思いますよ。

Re: サーバ用証明書の作成 ( No.7 )

æ¥æï¼ 2005/09/06 00:17
ååï¼ あおじし   <aojishi@po.people-i.ne.jp>

管理人様お手数をかけて申し訳ありません。「apache Version(正確にはリビジョン)が古い時のコメントはこうなっていました。」ということは「httpd」をインストールした時点で「設定ファイル」が違うということですね。「genkeyでもServer Certificate(サーバ証明書)を作る事が可能です。」 [root@fedora conf]# openssl genrsa -des3 -out server.key -rand rand.dat 1024 このコマンドから [genkey]=[server.key] と考えていいんですか？少しこれまでの経緯を整理してみると１．Webページを作っていなくても、証明書は作成できる。２．証明書と鍵の作成場所はどこでも構わない。３．apache設定ファイル内のファイル場所は正しく設定すること。４．[apache]install時点で「ＳＳＬ設定」ファイルも存在する。以上のことをふまえてもう一度挑戦してみます。ちなみに「ＦＣ４」のなかに古いバージョンの「ｈｔｔｐｄ」はインストールできますか？自分で解決出来なければこの方法も考えてみます。

Re: サーバ用証明書の作成 ( No.8 )

æ¥æï¼ 2005/09/06 09:52
ååï¼ 管理者

> ３．apache設定ファイル内のファイル場所は正しく設定すること。誤解を生まない様に補足致しますが「SSL」設定は正確にはapache設定ファイルではありません。 apacheの組み込みモジュール設定ファイルになります。組み込みモジュールの場所は本来のapache設定ファイル「/etc/httpd/conf/httpd.conf」内に存在する下記の部分のパスになります。 # # Load config files from the config directory "/etc/httpd/conf.d". # Include conf.d/*.conf 上記だと「/etc/httpd/」から相対パスになるので、絶対パスは「/etc/httpd/conf.d/」になります。この中に、「ssl.conf」があるので、これがapache組み込みモジュールのssl設定ファイルになります。 > ４．[apache]install時点で「ＳＳＬ設定」ファイルも存在する。これは誤りです。apacheでSSL通信するには「mod_ssl」をインストールする必要があります。 > 以上のことをふまえてもう一度挑戦してみます。ちなみに「ＦＣ４」のなかに古いバージョンの「ｈｔｔｐｄ」はインストールできますか？バージョン？ですか？apacheのバージョンは、1.3系と2.0系の2種類があり、FC4のデフォルトは2.0系です。 FC4に1.3系をインストールできるのか？(正常に動作するのか？)は不明です。もしリビジョンの事を仰っているならば、古い、rpmパッケージやソースコードがあれば勿論インストールできます。ただし、リビジョンが上がる訳には、セキュリティの虚弱性やバグ等の理由なので無闇に低いリビジョンを使用するのは良くないと思いますよ。

Re: サーバ用証明書の作成 ( No.9 )

æ¥æï¼ 2005/09/07 00:14
ååï¼ あおじし   <aojishi@po.people-i.ne.jp>

管理者様、頭が下がります、いろいろと丁寧な指導に感謝しています。前回の書き込みの後、早速実行に移し、すべての関連ファイルを削除して０からＨＴＴＰＤのインストールからやり直しました。１．ＦＣ２のＨＴＴＰＤはＦＣ４のＣＤＲＯＭを要求され無理でした。２．ｙｕｍでＨＴＴＰＤをインストール[バージョンhttpd-2.0.54-10.1]で頭の部分が 1:2 と 2 で違いを確認。これが１.3系と２.0系だということを今日の返信で初めて知りました。３．ＨＴＴＰＤをインストール４．Ｍｏｄ＿ＳＳＬをインストール後の関連ファイルの位置を確認 [root@coco ~]# ls –l httpd & mod_ssl 関連なし [root@coco ~]# cd /etc/pki/tls/certs [root@coco certs]# ls –l httpd & mod_ssl 関連 3 rw-r--r-- 1 root root  2240 5月 19 18:35 Makefile -rw-r--r-- 1 root root 427833 5月 19 18:35 ca-bundle.crt -rw------- 1 root root  1452 9月 5 01:05 localhost.crt 空 -rw-r--r-- 1 root root  610 5月 19 18:35 make-dummy-cert [root@coco certs]# ls -l /etc/httpd/ httpd & mod_ssl 関連合計 8 drwxr-xr-x 2 root root 4096 9月 6 01:36 conf Directory drwxr-xr-x 2 root root 4096 9月 6 02:15 conf.d Directory lrwxrwxrwx 1 root root  19 9月 6 01:23 logs -> ../../var/log/httpd lrwxrwxrwx 1 root root  27 9月 6 01:23 modules -> ../../usr/lib/httpd/modules lrwxrwxrwx 1 root root  13 9月 6 01:23 run -> ../../var/run [root@coco certs]# ls -l /etc/httpd/conf/ 合計 52 -rw-r--r-- 1 root root 33137 9月 6 01:36 httpd.conf 編集済み -rw-r--r-- 1 root root 12958 7月 26 19:14 magic [root@coco conf.d]# ls -l 合計 24 -rw-r--r-- 1 root root 392 7月 26 19:14 README -rw-r--r-- 1 root root 560 8月 17 22:55 php.conf -rw-r--r-- 1 root root 9799 7月 26 19:14 ssl.conf SSL設定ファイル -rw-r--r-- 1 root root 299 7月 26 19:14 welcome.conf 「SSL設定ファイル」の位置は /etc/httpd/conf/httpd/conf.d/ssl.conf だと確認できました。これにより管理者様の１番目の解説を確認し理解できたと思います。結論として当サイトの「SSL設定ファイル」の編集指摘部分を私の設定ファイルにも提要してみようと思います。長々とありがとうございました。この後もまた、何かあればお世話になります。

Re: サーバ用証明書の作成 ( No.10 )

æ¥æï¼ 2005/09/07 18:24
ååï¼ あおじし   <aojishi@po.people-i.ne.jp>

管理人者様、本当にありがとうございました。やはりバージョンの違いでうまくいかなかったようです。再度、ＦＣ４を利用のサイトでのチャレンジを試みました。ＳＳＬ設定ファイルの違いがありましたのでしょう、ファイルを開くコマンドを実行したら「注意！末サポ＾トのエスケープシーケンスを見つけました。 ESC [?12:25h」というコメントが出てきましたが、次回から表示しないにチェック入れて編集を実行し「ｈｔｔｐｄ］を再起動させたあと https://IPAdd/でうまくセキュリティのダイアログも出てａｐａｃｈｅのページを開くことが出来ました。長い間対応いただきありがとうございました。＊追記このスレッドを終了したいのですが、レンチアイコンがどこにあるのか判りません。

Page: [1] [2] [3]

■ その他

ページ先頭へ

Re: サーバ用証明書の作成 ( No.6 )
æ¥æï¼ 2005/09/05 22:13 ååï¼ 管理者遅くなりました。紹介当時(Fedora Core2)の時のapache Version(正確にはリビジョン)が古い時のコメントはこうなっていました。現在のコメントは「A new ertificate can be generated」になっています。「kill -HUP」とは、簡単に言うと変更した場合、プロセスを再起動して下さいと言う意味です。証明書・鍵を変更したら、プロセスを再起動しないと有効になりません。ちなみに、サンプルの証明書の場所は「/etc/pki/tls/certs/localhost.crt」、キーは「/etc/pki/tls/private/localhost.key」となっていますが、私の場合、 apache系統に纏めておきたい(場所を分散したくない)意味から、双方の格納場所を「/etc/httpd/conf/」配下にまとめた次第です。追伸. genkeyでもServer Certificate(サーバ証明書)を作る事が可能です。ですので、あまり気になさらなくてもいいと思いますよ。
Re: サーバ用証明書の作成 ( No.7 )
æ¥æï¼ 2005/09/06 00:17 ååï¼ あおじし <aojishi@po.people-i.ne.jp> 管理人様お手数をかけて申し訳ありません。「apache Version(正確にはリビジョン)が古い時のコメントはこうなっていました。」ということは「httpd」をインストールした時点で「設定ファイル」が違うということですね。「genkeyでもServer Certificate(サーバ証明書)を作る事が可能です。」 [root@fedora conf]# openssl genrsa -des3 -out server.key -rand rand.dat 1024 このコマンドから [genkey]=[server.key] と考えていいんですか？少しこれまでの経緯を整理してみると１．Webページを作っていなくても、証明書は作成できる。２．証明書と鍵の作成場所はどこでも構わない。３．apache設定ファイル内のファイル場所は正しく設定すること。４．[apache]install時点で「ＳＳＬ設定」ファイルも存在する。以上のことをふまえてもう一度挑戦してみます。ちなみに「ＦＣ４」のなかに古いバージョンの「ｈｔｔｐｄ」はインストールできますか？自分で解決出来なければこの方法も考えてみます。
Re: サーバ用証明書の作成 ( No.8 )
æ¥æï¼ 2005/09/06 09:52 ååï¼ 管理者 > ３．apache設定ファイル内のファイル場所は正しく設定すること。誤解を生まない様に補足致しますが「SSL」設定は正確にはapache設定ファイルではありません。 apacheの組み込みモジュール設定ファイルになります。組み込みモジュールの場所は本来のapache設定ファイル「/etc/httpd/conf/httpd.conf」内に存在する下記の部分のパスになります。 # # Load config files from the config directory "/etc/httpd/conf.d". # Include conf.d/*.conf 上記だと「/etc/httpd/」から相対パスになるので、絶対パスは「/etc/httpd/conf.d/」になります。この中に、「ssl.conf」があるので、これがapache組み込みモジュールのssl設定ファイルになります。 > ４．[apache]install時点で「ＳＳＬ設定」ファイルも存在する。これは誤りです。apacheでSSL通信するには「mod_ssl」をインストールする必要があります。 > 以上のことをふまえてもう一度挑戦してみます。ちなみに「ＦＣ４」のなかに古いバージョンの「ｈｔｔｐｄ」はインストールできますか？バージョン？ですか？apacheのバージョンは、1.3系と2.0系の2種類があり、FC4のデフォルトは2.0系です。 FC4に1.3系をインストールできるのか？(正常に動作するのか？)は不明です。もしリビジョンの事を仰っているならば、古い、rpmパッケージやソースコードがあれば勿論インストールできます。ただし、リビジョンが上がる訳には、セキュリティの虚弱性やバグ等の理由なので無闇に低いリビジョンを使用するのは良くないと思いますよ。
Re: サーバ用証明書の作成 ( No.9 )
æ¥æï¼ 2005/09/07 00:14 ååï¼ あおじし <aojishi@po.people-i.ne.jp> 管理者様、頭が下がります、いろいろと丁寧な指導に感謝しています。前回の書き込みの後、早速実行に移し、すべての関連ファイルを削除して０からＨＴＴＰＤのインストールからやり直しました。１．ＦＣ２のＨＴＴＰＤはＦＣ４のＣＤＲＯＭを要求され無理でした。２．ｙｕｍでＨＴＴＰＤをインストール[バージョンhttpd-2.0.54-10.1]で頭の部分が 1:2 と 2 で違いを確認。これが１.3系と２.0系だということを今日の返信で初めて知りました。３．ＨＴＴＰＤをインストール４．Ｍｏｄ＿ＳＳＬをインストール後の関連ファイルの位置を確認 [root@coco ~]# ls –l httpd & mod_ssl 関連なし [root@coco ~]# cd /etc/pki/tls/certs [root@coco certs]# ls –l httpd & mod_ssl 関連 3 rw-r--r-- 1 root root 2240 5月 19 18:35 Makefile -rw-r--r-- 1 root root 427833 5月 19 18:35 ca-bundle.crt -rw------- 1 root root 1452 9月 5 01:05 localhost.crt 空 -rw-r--r-- 1 root root 610 5月 19 18:35 make-dummy-cert [root@coco certs]# ls -l /etc/httpd/ httpd & mod_ssl 関連合計 8 drwxr-xr-x 2 root root 4096 9月 6 01:36 conf Directory drwxr-xr-x 2 root root 4096 9月 6 02:15 conf.d Directory lrwxrwxrwx 1 root root 19 9月 6 01:23 logs -> ../../var/log/httpd lrwxrwxrwx 1 root root 27 9月 6 01:23 modules -> ../../usr/lib/httpd/modules lrwxrwxrwx 1 root root 13 9月 6 01:23 run -> ../../var/run [root@coco certs]# ls -l /etc/httpd/conf/ 合計 52 -rw-r--r-- 1 root root 33137 9月 6 01:36 httpd.conf 編集済み -rw-r--r-- 1 root root 12958 7月 26 19:14 magic [root@coco conf.d]# ls -l 合計 24 -rw-r--r-- 1 root root 392 7月 26 19:14 README -rw-r--r-- 1 root root 560 8月 17 22:55 php.conf -rw-r--r-- 1 root root 9799 7月 26 19:14 ssl.conf SSL設定ファイル -rw-r--r-- 1 root root 299 7月 26 19:14 welcome.conf 「SSL設定ファイル」の位置は /etc/httpd/conf/httpd/conf.d/ssl.conf だと確認できました。これにより管理者様の１番目の解説を確認し理解できたと思います。結論として当サイトの「SSL設定ファイル」の編集指摘部分を私の設定ファイルにも提要してみようと思います。長々とありがとうございました。この後もまた、何かあればお世話になります。
Re: サーバ用証明書の作成 ( No.10 )
æ¥æï¼ 2005/09/07 18:24 ååï¼ あおじし <aojishi@po.people-i.ne.jp> 管理人者様、本当にありがとうございました。やはりバージョンの違いでうまくいかなかったようです。再度、ＦＣ４を利用のサイトでのチャレンジを試みました。ＳＳＬ設定ファイルの違いがありましたのでしょう、ファイルを開くコマンドを実行したら「注意！末サポ＾トのエスケープシーケンスを見つけました。 ESC [?12:25h」というコメントが出てきましたが、次回から表示しないにチェック入れて編集を実行し「ｈｔｔｐｄ］を再起動させたあと https://IPAdd/でうまくセキュリティのダイアログも出てａｐａｃｈｅのページを開くことが出来ました。長い間対応いただきありがとうございました。＊追記このスレッドを終了したいのですが、レンチアイコンがどこにあるのか判りません。