サーバ用証明書の作成

このスレッドはクローズされています。記事の閲覧のみとなります。

サーバ用証明書の作成

æ¥æï¼ 2005/09/05 02:34
ååï¼ あおじし <aojishi@po.people-i.ne.jp>

こちらのサイトでいつもお世話になっています。「サーバ用証明書の作成」で Write out database with 1 new entries Data Base Updated CA verifying: server.crt <-> CA cert 「server.crt: /C=JP/ST=・・・・・ error 18 at 0 depth lookup:self signed certificate /C=JP/ST=・・・・・ error 7 at 0 depth lookup:certificate signature failure」 [CA verifying: server.crt <-> CA cert]の後に”server.crt: OK”とならず上記の「」内のコメントが出て「サーバ用証明書の作成」に失敗したようですが、原因が解りません。自分なりに判断すると、１・以前に一度サーバーキーで失敗した。２・「サーバ用証明書の作成」で入力ミスしたことがある。３・まだＷｅｂページを作っていない。等が考えられますが、「３」が原因でしょうか？それともほかに？今回は注意深く入力出来たので自信があったんですが。やっぱり「サーバ用証明書の作成」が出来てないと、メールサーバーも出来ませんよね？是非アドバイスを期待してます。

Page: [1] [2] [3]

■ コンテンツ関連情報

Re: サーバ用証明書の作成 ( No.1 )

æ¥æï¼ 2005/09/05 10:43
ååï¼ 管理者

> １・以前に一度サーバーキーで失敗した。 > ２・「サーバ用証明書の作成」で入力ミスしたことがある。 > ３・まだＷｅｂページを作っていない。 > 等が考えられますが、「３」が原因でしょうか？それともほかに？ Webページを作っていなくても、証明書は作成できるはずです。推測で申し訳ないのですが、証明書や鍵を作成した場所(当サイトの紹介通りにされていたなら「/etc/httpd/conf」です)にCA局DBが余計なデータを保持しているのではないでしょうか？一度、「/etc/httpd/conf」にある「ca.*」(ディレクトリおよびファイル)と「server.*」を削除し、作成してみてください。事によったら、作成できるかもしれません。ちなみに、CA用のパスフレーズとサーバ用のパスフレーズは違う物にしてください。 > 今回は注意深く入力出来たので自信があったんですが。やっぱり「サーバ用証明書の作成」が出来てないと、メールサーバーも出来ませんよね？メールの送受信に使うプロトコル「smtps：465番」と「pop3s：995番」で無ければ作成しなくてもメールサーバは構築できます。この場合、プロトコルは通常の「smtp：25番」と「pop3：110番」になります。

Re: サーバ用証明書の作成 ( No.2 )

æ¥æï¼ 2005/09/05 13:15
ååï¼ あおじし   <aojishi@po.people-i.ne.jp>

管理者様ありがとうございます。前回はPerlのJcodeインストールでお世話になりました。 ”証明書や鍵を作成した場所(当サイトの紹介通りにされていたなら「/etc/httpd/conf」です)にCA局DBが余計なデータを保持しているのではないでしょうか？” この件は私が一番気になってるんですが、別のサイトを参考にして [root@*** ~]# cd /etc/pki/tls/certs [root@*** certs]# make server.key となっていて、作成ディレクトリが違うのと、[/etc/http/]に対して[/etc/pki/]で [root@*** certs]# vi /etc/httpd/conf.d/ssl.conf で「ＳＳＬ設定」を編集しようとすると SSLCertificateFile /etc/httpd/conf/ssl.crt/server.crt ↓ SSLCertificateFile /etc/httpd/conf/server.pem の様な説明があるんですが、”ssl.conf”の中身には、pathがすべて"/etchttp/.."ではなく"/etc/pki/..."になっているので、編集できずに質問してみましたが、レスがつきませんでした。そこで再セットアップしてやったのでそのときのデータなどが残っているのではと気になっていました。ご指摘の”「ca.*」(ディレクトリおよびファイル)と「server.*」を削除”と、あるのは # ls -l -rw-r--r-- 1 root root 1326 9月 5 01:34 ca.crt drwxr-xr-x 2 root root 4096 9月 5 01:52 ca.db.certs -rw-r--r-- 1 root root  129 9月 5 01:52 ca.db.index -rw-r--r-- 1 root root  21 9月 5 01:52 ca.db.index.attr -rw-r--r-- 1 root root   3 9月 5 01:52 ca.db.serial -rw-r--r-- 1 root root  963 9月 5 01:27 ca.key -rw-r--r-- 1 root root 33141 9月 5 00:23 httpd.conf -rw-r--r-- 1 root root 12958 7月 26 19:14 magic -rw-r--r-- 1 root root 2721 9月 5 01:52 server.crt -rw-r--r-- 1 root root  712 9月 5 01:45 server.csr -rw-r--r-- 1 root root  887 9月 5 01:47 server.key -rw-r--r-- 1 root root  963 9月 5 01:46 server.key.bak 「CA用のパスフレーズとサーバ用のパスフレーズは違う物」と、ありますのでこの中の「ca.＊」６個「server.＊」４個すべてを削除するんですか？削除した後は「mod_ssl」のインストールからのやり直しですか？ ”メールの送受信に使うプロトコル「smtps：465番」と「pop3s：995番」で無ければ作成しなくてもメールサーバは構築できます。この場合、プロトコルは通常の「smtp：25番」と「pop3：110番」になります。” ｓｍｔｐとｐｏｐ３を使う予定ですが、そのときに確か「ＳＳＬ認証で」「サーバー証明書」が求められると思うんですが、「ＳＳＬ認証で」なしでも大丈夫ですか？長々とすみませんが、宜しくお願いします。

Re: サーバ用証明書の作成 ( No.3 )

æ¥æï¼ 2005/09/05 13:51
ååï¼ 管理者

> この件は私が一番気になってるんですが、別のサイトを参考にして > [root@*** ~]# cd /etc/pki/tls/certs > [root@*** certs]# make server.key > となっていて、作成ディレクトリが違うのと、[/etc/http/]に対して[/etc/pki/]で > [root@*** certs]# vi /etc/httpd/conf.d/ssl.conf で「ＳＳＬ設定」を編集しようとすると > SSLCertificateFile /etc/httpd/conf/ssl.crt/server.crt > ↓ > SSLCertificateFile /etc/httpd/conf/server.pem > の様な説明があるんですが、”ssl.conf”の中身には、pathがすべて"/etchttp/.."ではなく"/etc/pki/..."になっているので、編集できずに質問してみましたが、レスがつきませんでした。そこで再セットアップしてやったのでそのときのデータなどが残っているのではと気になっていました。証明書と鍵の作成場所はどこでも構いません。勿論、apache設定ファイル内のファイル場所は正しく設定しないといけませんが・・・ > ご指摘の”「ca.*」(ディレクトリおよびファイル)と「server.*」を削除”と、あるのは > # ls -l > -rw-r--r-- 1 root root 1326 9月 5 01:34 ca.crt > drwxr-xr-x 2 root root 4096 9月 5 01:52 ca.db.certs > -rw-r--r-- 1 root root  129 9月 5 01:52 ca.db.index > -rw-r--r-- 1 root root  21 9月 5 01:52 ca.db.index.attr > -rw-r--r-- 1 root root   3 9月 5 01:52 ca.db.serial > -rw-r--r-- 1 root root  963 9月 5 01:27 ca.key > -rw-r--r-- 1 root root 33141 9月 5 00:23 httpd.conf > -rw-r--r-- 1 root root 12958 7月 26 19:14 magic > -rw-r--r-- 1 root root 2721 9月 5 01:52 server.crt > -rw-r--r-- 1 root root  712 9月 5 01:45 server.csr > -rw-r--r-- 1 root root  887 9月 5 01:47 server.key > -rw-r--r-- 1 root root  963 9月 5 01:46 server.key.bak > 「CA用のパスフレーズとサーバ用のパスフレーズは違う物」と、ありますので > この中の「ca.＊」６個「server.＊」４個すべてを削除するんですか？そうです。ただし「ca.db.certs」はディレクトリなので、削除するときは「rm -rf ca.*」で"r"オプションを付けて下さい。 (削除する場合はくれぐれも気を付けて下さい。「rm -r ca.*」で、一つずつ確認した方が無難かも。) > 削除した後は「mod_ssl」のインストールからのやり直しですか？「mod_ssl」は、インストール済みなので行う必要はありません。当サイトの説明であれば、「http://kajuhome.com/apache_ssl.shtml#n03」から行ってください。 >> ”メールの送受信に使うプロトコル「smtps：465番」と「pop3s：995番」で無ければ作成しなくてもメールサーバは構築できます。 > この場合、プロトコルは通常の「smtp：25番」と「pop3：110番」になります。” > ｓｍｔｐとｐｏｐ３を使う予定ですが、そのときに確か「ＳＳＬ認証で」「サーバー証明書」が求められると思うんですが、「ＳＳＬ認証で」なしでも大丈夫ですか？「smtp」と「pop3」であれば、求められないと思うのですが・・・

Re: サーバ用証明書の作成 ( No.4 )

æ¥æï¼ 2005/09/05 15:43
ååï¼ あおじし   <aojishi@po.people-i.ne.jp>

ありがとうございます。「証明書と鍵の作成場所はどこでも構いません。勿論、apache設定ファイル内のファイル場所は正しく設定しないといけませんが・・・」私もそう思うのですが現実開いた中身は指導のものとは違ってました、不思議です。ご指示の方法でやってみますが、CA局DBが余計なデータを保持していなければいいのですが。結果はまた書き込みます。

Re: サーバ用証明書の作成 ( No.5 )

æ¥æï¼ 2005/09/05 19:18
ååï¼ あおじし   <aojishi@po.people-i.ne.jp>

管理者様、こんばんは、あおじしです。作業に入る前にひとつ質問です。「ＳＳＬ設定ファイル」は「mod_ssl」をインストールした時点で入っているものですか？実は作業の前に現在のファイルを保存しておこうと思いじっこうして内容を再確認していて気になる部分がを下に記します。１．[Server.crt]？に関する記述 [管理人様サイト] #  Server Certificate: #  Point SSLCertificateFile at a PEM encoded certificate. If #  the certificate is encrypted, then you will be prompted for a #  pass phrase. Note that a kill -HUP will prompt again. A test #  certificate can be generated with `make certificate' under #  built time. Keep in mind that if you've both a RSA and a DSA #  certificate you can configure both in parallel (to also allow #  the use of DSA ciphers, etc.) SSLCertificateFile /etc/httpd/conf/server.crt [あおじしファイル] #  Server Certificate #  Point SSLCertificateFile at a PEM encoded certificate. If #  the certificate is encrypted, then you will be prompted for a #  pass phrase. Note that a kill -HUP will prompt again. A new #  certificate can be generated using the genkey(1) command. SSLCertificateFile /etc/pki/tls/certs/localhost.crt ２．[さーばー公開鍵]に関する記述 [管理人様サイト] #  Server Private Key: #  If the key is not combined with the certificate, use this #  directive to point at the key file. Keep in mind that if #  you've both a RSA and a DSA private key you can configure #  both in parallel (to also allow the use of DSA ciphers, etc.) SSLCertificateKeyFile /etc/pki/tls/private/localhost.key [あおじしファイル] #  Server Private Key: #  If the key is not combined with the certificate, use this #  directive to point at the key file. Keep in mind that if #  you've both a RSA and a DSA private key you can configure #  both in parallel (to also allow the use of DSA ciphers, etc.) SSLCertificateKeyFile /etc/httpd/conf/server.key というようなものですが２．Server Private Key:に関しては記述部分は全く一緒なのですが、１．Server Certificate の [-HUP will prompt again.]の後が [A test ertificate can be generated] に対して [A new ertificate can be generated]になっている点が気になります。このことで、私のファイルは [using the genkey(1) command.]で終わっている。まだ、初心者の私には解読できません。

Page: [1] [2] [3]

■ その他

ページ先頭へ

Re: サーバ用証明書の作成 ( No.1 )
æ¥æï¼ 2005/09/05 10:43 ååï¼ 管理者 > １・以前に一度サーバーキーで失敗した。 > ２・「サーバ用証明書の作成」で入力ミスしたことがある。 > ３・まだＷｅｂページを作っていない。 > 等が考えられますが、「３」が原因でしょうか？それともほかに？ Webページを作っていなくても、証明書は作成できるはずです。推測で申し訳ないのですが、証明書や鍵を作成した場所(当サイトの紹介通りにされていたなら「/etc/httpd/conf」です)にCA局DBが余計なデータを保持しているのではないでしょうか？一度、「/etc/httpd/conf」にある「ca.」(ディレクトリおよびファイル)と「server.」を削除し、作成してみてください。事によったら、作成できるかもしれません。ちなみに、CA用のパスフレーズとサーバ用のパスフレーズは違う物にしてください。 > 今回は注意深く入力出来たので自信があったんですが。やっぱり「サーバ用証明書の作成」が出来てないと、メールサーバーも出来ませんよね？メールの送受信に使うプロトコル「smtps：465番」と「pop3s：995番」で無ければ作成しなくてもメールサーバは構築できます。この場合、プロトコルは通常の「smtp：25番」と「pop3：110番」になります。
Re: サーバ用証明書の作成 ( No.2 )
æ¥æï¼ 2005/09/05 13:15 ååï¼ あおじし <aojishi@po.people-i.ne.jp> 管理者様ありがとうございます。前回はPerlのJcodeインストールでお世話になりました。 ”証明書や鍵を作成した場所(当サイトの紹介通りにされていたなら「/etc/httpd/conf」です)にCA局DBが余計なデータを保持しているのではないでしょうか？” この件は私が一番気になってるんですが、別のサイトを参考にして [root@* ~]# cd /etc/pki/tls/certs [root@* certs]# make server.key となっていて、作成ディレクトリが違うのと、[/etc/http/]に対して[/etc/pki/]で [root@*** certs]# vi /etc/httpd/conf.d/ssl.conf で「ＳＳＬ設定」を編集しようとすると SSLCertificateFile /etc/httpd/conf/ssl.crt/server.crt ↓ SSLCertificateFile /etc/httpd/conf/server.pem の様な説明があるんですが、”ssl.conf”の中身には、pathがすべて"/etchttp/.."ではなく"/etc/pki/..."になっているので、編集できずに質問してみましたが、レスがつきませんでした。そこで再セットアップしてやったのでそのときのデータなどが残っているのではと気になっていました。ご指摘の”「ca.」(ディレクトリおよびファイル)と「server.」を削除”と、あるのは # ls -l -rw-r--r-- 1 root root 1326 9月 5 01:34 ca.crt drwxr-xr-x 2 root root 4096 9月 5 01:52 ca.db.certs -rw-r--r-- 1 root root 129 9月 5 01:52 ca.db.index -rw-r--r-- 1 root root 21 9月 5 01:52 ca.db.index.attr -rw-r--r-- 1 root root 3 9月 5 01:52 ca.db.serial -rw-r--r-- 1 root root 963 9月 5 01:27 ca.key -rw-r--r-- 1 root root 33141 9月 5 00:23 httpd.conf -rw-r--r-- 1 root root 12958 7月 26 19:14 magic -rw-r--r-- 1 root root 2721 9月 5 01:52 server.crt -rw-r--r-- 1 root root 712 9月 5 01:45 server.csr -rw-r--r-- 1 root root 887 9月 5 01:47 server.key -rw-r--r-- 1 root root 963 9月 5 01:46 server.key.bak 「CA用のパスフレーズとサーバ用のパスフレーズは違う物」と、ありますのでこの中の「ca.＊」６個「server.＊」４個すべてを削除するんですか？削除した後は「mod_ssl」のインストールからのやり直しですか？ ”メールの送受信に使うプロトコル「smtps：465番」と「pop3s：995番」で無ければ作成しなくてもメールサーバは構築できます。この場合、プロトコルは通常の「smtp：25番」と「pop3：110番」になります。” ｓｍｔｐとｐｏｐ３を使う予定ですが、そのときに確か「ＳＳＬ認証で」「サーバー証明書」が求められると思うんですが、「ＳＳＬ認証で」なしでも大丈夫ですか？長々とすみませんが、宜しくお願いします。
Re: サーバ用証明書の作成 ( No.3 )
æ¥æï¼ 2005/09/05 13:51 ååï¼ 管理者 > この件は私が一番気になってるんですが、別のサイトを参考にして > [root@* ~]# cd /etc/pki/tls/certs > [root@* certs]# make server.key > となっていて、作成ディレクトリが違うのと、[/etc/http/]に対して[/etc/pki/]で > [root@*** certs]# vi /etc/httpd/conf.d/ssl.conf で「ＳＳＬ設定」を編集しようとすると > SSLCertificateFile /etc/httpd/conf/ssl.crt/server.crt > ↓ > SSLCertificateFile /etc/httpd/conf/server.pem > の様な説明があるんですが、”ssl.conf”の中身には、pathがすべて"/etchttp/.."ではなく"/etc/pki/..."になっているので、編集できずに質問してみましたが、レスがつきませんでした。そこで再セットアップしてやったのでそのときのデータなどが残っているのではと気になっていました。証明書と鍵の作成場所はどこでも構いません。勿論、apache設定ファイル内のファイル場所は正しく設定しないといけませんが・・・ > ご指摘の”「ca.」(ディレクトリおよびファイル)と「server.」を削除”と、あるのは > # ls -l > -rw-r--r-- 1 root root 1326 9月 5 01:34 ca.crt > drwxr-xr-x 2 root root 4096 9月 5 01:52 ca.db.certs > -rw-r--r-- 1 root root 129 9月 5 01:52 ca.db.index > -rw-r--r-- 1 root root 21 9月 5 01:52 ca.db.index.attr > -rw-r--r-- 1 root root 3 9月 5 01:52 ca.db.serial > -rw-r--r-- 1 root root 963 9月 5 01:27 ca.key > -rw-r--r-- 1 root root 33141 9月 5 00:23 httpd.conf > -rw-r--r-- 1 root root 12958 7月 26 19:14 magic > -rw-r--r-- 1 root root 2721 9月 5 01:52 server.crt > -rw-r--r-- 1 root root 712 9月 5 01:45 server.csr > -rw-r--r-- 1 root root 887 9月 5 01:47 server.key > -rw-r--r-- 1 root root 963 9月 5 01:46 server.key.bak > 「CA用のパスフレーズとサーバ用のパスフレーズは違う物」と、ありますので > この中の「ca.＊」６個「server.＊」４個すべてを削除するんですか？そうです。ただし「ca.db.certs」はディレクトリなので、削除するときは「rm -rf ca.」で"r"オプションを付けて下さい。 (削除する場合はくれぐれも気を付けて下さい。「rm -r ca.」で、一つずつ確認した方が無難かも。) > 削除した後は「mod_ssl」のインストールからのやり直しですか？「mod_ssl」は、インストール済みなので行う必要はありません。当サイトの説明であれば、「http://kajuhome.com/apache_ssl.shtml#n03」から行ってください。 >> ”メールの送受信に使うプロトコル「smtps：465番」と「pop3s：995番」で無ければ作成しなくてもメールサーバは構築できます。 > この場合、プロトコルは通常の「smtp：25番」と「pop3：110番」になります。” > ｓｍｔｐとｐｏｐ３を使う予定ですが、そのときに確か「ＳＳＬ認証で」「サーバー証明書」が求められると思うんですが、「ＳＳＬ認証で」なしでも大丈夫ですか？「smtp」と「pop3」であれば、求められないと思うのですが・・・
Re: サーバ用証明書の作成 ( No.4 )
æ¥æï¼ 2005/09/05 15:43 ååï¼ あおじし <aojishi@po.people-i.ne.jp> `ありがとうございます。「証明書と鍵の作成場所はどこでも構いません。勿論、apache設定ファイル内のファイル場所は正しく設定しないといけませんが・・・」私もそう思うのですが現実開いた中身は指導のものとは違ってました、不思議です。ご指示の方法でやってみますが、CA局DBが余計なデータを保持していなければいいのですが。結果はまた書き込みます。`
Re: サーバ用証明書の作成 ( No.5 )
æ¥æï¼ 2005/09/05 19:18 ååï¼ あおじし <aojishi@po.people-i.ne.jp> 管理者様、こんばんは、あおじしです。作業に入る前にひとつ質問です。「ＳＳＬ設定ファイル」は「mod_ssl」をインストールした時点で入っているものですか？実は作業の前に現在のファイルを保存しておこうと思いじっこうして内容を再確認していて気になる部分がを下に記します。１．[Server.crt]？に関する記述 [管理人様サイト] # Server Certificate: # Point SSLCertificateFile at a PEM encoded certificate. If # the certificate is encrypted, then you will be prompted for a # pass phrase. Note that a kill -HUP will prompt again. A test # certificate can be generated with `make certificate' under # built time. Keep in mind that if you've both a RSA and a DSA # certificate you can configure both in parallel (to also allow # the use of DSA ciphers, etc.) SSLCertificateFile /etc/httpd/conf/server.crt [あおじしファイル] # Server Certificate # Point SSLCertificateFile at a PEM encoded certificate. If # the certificate is encrypted, then you will be prompted for a # pass phrase. Note that a kill -HUP will prompt again. A new # certificate can be generated using the genkey(1) command. SSLCertificateFile /etc/pki/tls/certs/localhost.crt ２．[さーばー公開鍵]に関する記述 [管理人様サイト] # Server Private Key: # If the key is not combined with the certificate, use this # directive to point at the key file. Keep in mind that if # you've both a RSA and a DSA private key you can configure # both in parallel (to also allow the use of DSA ciphers, etc.) SSLCertificateKeyFile /etc/pki/tls/private/localhost.key [あおじしファイル] # Server Private Key: # If the key is not combined with the certificate, use this # directive to point at the key file. Keep in mind that if # you've both a RSA and a DSA private key you can configure # both in parallel (to also allow the use of DSA ciphers, etc.) SSLCertificateKeyFile /etc/httpd/conf/server.key というようなものですが２．Server Private Key:に関しては記述部分は全く一緒なのですが、１．Server Certificate の [-HUP will prompt again.]の後が [A test ertificate can be generated] に対して [A new ertificate can be generated]になっている点が気になります。このことで、私のファイルは [using the genkey(1) command.]で終わっている。まだ、初心者の私には解読できません。