 Re: サーバ用証明書の作成
( No.1 )
|
 |
- 日時: 2005/09/05 10:43
- 名前: 管理者
-
> 1・以前に一度サーバーキーで失敗した。
> 2・「サーバ用証明書の作成」で入力ミスしたことがある。
> 3・まだWebページを作っていない。
> 等が考えられますが、「3」が原因でしょうか?それともほかに?
Webページを作っていなくても、証明書は作成できるはずです。
推測で申し訳ないのですが、証明書や鍵を作成した場所(当サイトの紹介通りにされていたなら「/etc/httpd/conf」です)にCA局DBが余計なデータを保持しているのではないでしょうか?
一度、「/etc/httpd/conf」にある「ca.*」(ディレクトリおよびファイル)と「server.*」を削除し、作成してみてください。
事によったら、作成できるかもしれません。
ちなみに、CA用のパスフレーズとサーバ用のパスフレーズは違う物にしてください。
> 今回は注意深く入力出来たので自信があったんですが。やっぱり「サーバ用証明書の作成」が出来てないと、メールサーバーも出来ませんよね?
メールの送受信に使うプロトコル「smtps:465番」と「pop3s:995番」で無ければ作成しなくてもメールサーバは構築できます。
この場合、プロトコルは通常の「smtp:25番」と「pop3:110番」になります。
|
|
Re: サーバ用証明書の作成
( No.2 )
|
|
- 日時: 2005/09/05 13:15
- 名前: あおじし
<aojishi@po.people-i.ne.jp>
-
管理者様ありがとうございます。前回はPerlのJcodeインストールでお世話になりました。
”証明書や鍵を作成した場所(当サイトの紹介通りにされていたなら「/etc/httpd/conf」です)にCA局DBが余計なデータを保持しているのではないでしょうか?”
この件は私が一番気になってるんですが、別のサイトを参考にして
[root@*** ~]# cd /etc/pki/tls/certs
[root@*** certs]# make server.key
となっていて、作成ディレクトリが違うのと、[/etc/http/]に対して[/etc/pki/]で
[root@*** certs]# vi /etc/httpd/conf.d/ssl.conf で「SSL設定」を編集しようとすると
SSLCertificateFile /etc/httpd/conf/ssl.crt/server.crt
↓
SSLCertificateFile /etc/httpd/conf/server.pem
の様な説明があるんですが、”ssl.conf”の中身には、pathがすべて"/etchttp/.."ではなく"/etc/pki/..."になっているので、編集できずに質問してみましたが、レスがつきませんでした。そこで再セットアップしてやったのでそのときのデータなどが残っているのではと気になっていました。
ご指摘の”「ca.*」(ディレクトリおよびファイル)と「server.*」を削除”と、あるのは
# ls -l
-rw-r--r-- 1 root root 1326 9月 5 01:34 ca.crt
drwxr-xr-x 2 root root 4096 9月 5 01:52 ca.db.certs
-rw-r--r-- 1 root root 129 9月 5 01:52 ca.db.index
-rw-r--r-- 1 root root 21 9月 5 01:52 ca.db.index.attr
-rw-r--r-- 1 root root 3 9月 5 01:52 ca.db.serial
-rw-r--r-- 1 root root 963 9月 5 01:27 ca.key
-rw-r--r-- 1 root root 33141 9月 5 00:23 httpd.conf
-rw-r--r-- 1 root root 12958 7月 26 19:14 magic
-rw-r--r-- 1 root root 2721 9月 5 01:52 server.crt
-rw-r--r-- 1 root root 712 9月 5 01:45 server.csr
-rw-r--r-- 1 root root 887 9月 5 01:47 server.key
-rw-r--r-- 1 root root 963 9月 5 01:46 server.key.bak
「CA用のパスフレーズとサーバ用のパスフレーズは違う物」と、ありますので
この中の「ca.*」6個 「server.*」4個 すべてを削除するんですか?
削除した後は「mod_ssl」のインストールからのやり直しですか?
”メールの送受信に使うプロトコル「smtps:465番」と「pop3s:995番」で無ければ作成しなくてもメールサーバは構築できます。
この場合、プロトコルは通常の「smtp:25番」と「pop3:110番」になります。”
smtp と pop3 を使う予定ですが、そのときに確か「SSL認証で」「サーバー証明書」が求められると思うんですが、「SSL認証で」なしでも大丈夫ですか?
長々とすみませんが、宜しくお願いします。
|
|
Re: サーバ用証明書の作成
( No.3 )
|
|
- 日時: 2005/09/05 13:51
- 名前: 管理者
-
> この件は私が一番気になってるんですが、別のサイトを参考にして
> [root@*** ~]# cd /etc/pki/tls/certs
> [root@*** certs]# make server.key
> となっていて、作成ディレクトリが違うのと、[/etc/http/]に対して[/etc/pki/]で
> [root@*** certs]# vi /etc/httpd/conf.d/ssl.conf で「SSL設定」を編集しようとすると
> SSLCertificateFile /etc/httpd/conf/ssl.crt/server.crt
> ↓
> SSLCertificateFile /etc/httpd/conf/server.pem
> の様な説明があるんですが、”ssl.conf”の中身には、pathがすべて"/etchttp/.."ではなく"/etc/pki/..."になっているので、編集できずに質問してみましたが、レスがつきませんでした。そこで再セットアップしてやったのでそのときのデータなどが残っているのではと気になっていました。
証明書と鍵の作成場所はどこでも構いません。
勿論、apache設定ファイル内のファイル場所は正しく設定しないといけませんが・・・
> ご指摘の”「ca.*」(ディレクトリおよびファイル)と「server.*」を削除”と、あるのは
> # ls -l
> -rw-r--r-- 1 root root 1326 9月 5 01:34 ca.crt
> drwxr-xr-x 2 root root 4096 9月 5 01:52 ca.db.certs
> -rw-r--r-- 1 root root 129 9月 5 01:52 ca.db.index
> -rw-r--r-- 1 root root 21 9月 5 01:52 ca.db.index.attr
> -rw-r--r-- 1 root root 3 9月 5 01:52 ca.db.serial
> -rw-r--r-- 1 root root 963 9月 5 01:27 ca.key
> -rw-r--r-- 1 root root 33141 9月 5 00:23 httpd.conf
> -rw-r--r-- 1 root root 12958 7月 26 19:14 magic
> -rw-r--r-- 1 root root 2721 9月 5 01:52 server.crt
> -rw-r--r-- 1 root root 712 9月 5 01:45 server.csr
> -rw-r--r-- 1 root root 887 9月 5 01:47 server.key
> -rw-r--r-- 1 root root 963 9月 5 01:46 server.key.bak
> 「CA用のパスフレーズとサーバ用のパスフレーズは違う物」と、ありますので
> この中の「ca.*」6個 「server.*」4個 すべてを削除するんですか?
そうです。ただし「ca.db.certs」はディレクトリなので、削除するときは「rm -rf ca.*」で"r"オプションを付けて下さい。
(削除する場合はくれぐれも気を付けて下さい。「rm -r ca.*」で、一つずつ確認した方が無難かも。)
> 削除した後は「mod_ssl」のインストールからのやり直しですか?
「mod_ssl」は、インストール済みなので行う必要はありません。
当サイトの説明であれば、「http://kajuhome.com/apache_ssl.shtml#n03」から行ってください。
>> ”メールの送受信に使うプロトコル「smtps:465番」と「pop3s:995番」で無ければ作成しなくてもメールサーバは構築できます。
> この場合、プロトコルは通常の「smtp:25番」と「pop3:110番」になります。”
> smtp と pop3 を使う予定ですが、そのときに確か「SSL認証で」「サーバー証明書」が求められると思うんですが、「SSL認証で」なしでも大丈夫ですか?
「smtp」と「pop3」であれば、求められないと思うのですが・・・
|
|
Re: サーバ用証明書の作成
( No.4 )
|
|
- 日時: 2005/09/05 15:43
- 名前: あおじし
<aojishi@po.people-i.ne.jp>
-
ありがとうございます。
「証明書と鍵の作成場所はどこでも構いません。
勿論、apache設定ファイル内のファイル場所は正しく設定しないといけませんが・・・」
私もそう思うのですが現実開いた中身は指導のものとは違ってました、不思議です。
ご指示の方法でやってみますが、CA局DBが余計なデータを保持していなければいいのですが。結果はまた書き込みます。
|
|
Re: サーバ用証明書の作成
( No.5 )
|
|
- 日時: 2005/09/05 19:18
- 名前: あおじし
<aojishi@po.people-i.ne.jp>
-
管理者様、こんばんは、あおじしです。
作業に入る前にひとつ質問です。「SSL設定ファイル」は「mod_ssl」をインストールした時点で入っているものですか?実は作業の前に現在のファイルを保存しておこうと思いじっこうして内容を再確認していて気になる部分がを下に記します。
1.[Server.crt]?に関する記述
[管理人様サイト]
# Server Certificate:
# Point SSLCertificateFile at a PEM encoded certificate. If
# the certificate is encrypted, then you will be prompted for a
# pass phrase. Note that a kill -HUP will prompt again. A test
# certificate can be generated with `make certificate' under
# built time. Keep in mind that if you've both a RSA and a DSA
# certificate you can configure both in parallel (to also allow
# the use of DSA ciphers, etc.)
SSLCertificateFile /etc/httpd/conf/server.crt
[あおじしファイル]
# Server Certificate
# Point SSLCertificateFile at a PEM encoded certificate. If
# the certificate is encrypted, then you will be prompted for a
# pass phrase. Note that a kill -HUP will prompt again. A new
# certificate can be generated using the genkey(1) command.
SSLCertificateFile /etc/pki/tls/certs/localhost.crt
2.[さーばー公開鍵]に関する記述
[管理人様サイト]
# Server Private Key:
# If the key is not combined with the certificate, use this
# directive to point at the key file. Keep in mind that if
# you've both a RSA and a DSA private key you can configure
# both in parallel (to also allow the use of DSA ciphers, etc.)
SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
[あおじしファイル]
# Server Private Key:
# If the key is not combined with the certificate, use this
# directive to point at the key file. Keep in mind that if
# you've both a RSA and a DSA private key you can configure
# both in parallel (to also allow the use of DSA ciphers, etc.)
SSLCertificateKeyFile /etc/httpd/conf/server.key
というようなものですが2.Server Private Key:に関しては記述部分は全く一緒なのですが、1.Server Certificate の [-HUP will prompt again.]の後が
[A test ertificate can be generated] に対して
[A new ertificate can be generated]になっている点が気になります。
このことで、私のファイルは
[using the genkey(1) command.]で終わっている。
まだ、初心者の私には解読できません。
|
|
Re: サーバ用証明書の作成
( No.6 )
|
|
- 日時: 2005/09/05 22:13
- 名前: 管理者
-
遅くなりました。
紹介当時(Fedora Core2)の時のapache Version(正確にはリビジョン)が古い時のコメントはこうなっていました。
現在のコメントは「A new ertificate can be generated」になっています。
「kill -HUP」とは、簡単に言うと変更した場合、プロセスを再起動して下さいと言う意味です。
証明書・鍵を変更したら、プロセスを再起動しないと有効になりません。
ちなみに、サンプルの証明書の場所は「/etc/pki/tls/certs/localhost.crt」、
キーは「/etc/pki/tls/private/localhost.key」となっていますが、私の場合、
apache系統に纏めておきたい(場所を分散したくない)意味から、双方の格納場所を
「/etc/httpd/conf/」配下にまとめた次第です。
追伸.
genkeyでもServer Certificate(サーバ証明書)を作る事が可能です。
ですので、あまり気になさらなくてもいいと思いますよ。
|
|
Re: サーバ用証明書の作成
( No.7 )
|
|
- 日時: 2005/09/06 00:17
- 名前: あおじし
<aojishi@po.people-i.ne.jp>
-
管理人様お手数をかけて申し訳ありません。
「apache Version(正確にはリビジョン)が古い時のコメントはこうなっていました。」
ということは「httpd」をインストールした時点で「設定ファイル」が違うということですね。
「genkeyでもServer Certificate(サーバ証明書)を作る事が可能です。」
[root@fedora conf]# openssl genrsa -des3 -out server.key -rand rand.dat 1024
このコマンドから [genkey]=[server.key] と考えていいんですか?
少しこれまでの経緯を整理してみると
1.Webページを作っていなくても、証明書は作成できる。
2.証明書と鍵の作成場所はどこでも構わない。
3.apache設定ファイル内のファイル場所は正しく設定すること。
4.[apache]install時点で「SSL設定」ファイルも存在する。
以上のことをふまえてもう一度挑戦してみます。ちなみに「FC4」のなかに古いバージョンの「httpd」はインストールできますか?
自分で解決出来なければこの方法も考えてみます。
|
|
Re: サーバ用証明書の作成
( No.8 )
|
|
- 日時: 2005/09/06 09:52
- 名前: 管理者
-
> 3.apache設定ファイル内のファイル場所は正しく設定すること。
誤解を生まない様に補足致しますが「SSL」設定は正確にはapache設定ファイルではありません。
apacheの組み込みモジュール設定ファイルになります。
組み込みモジュールの場所は本来のapache設定ファイル「/etc/httpd/conf/httpd.conf」内に存在する下記の部分のパスになります。
#
# Load config files from the config directory "/etc/httpd/conf.d".
#
Include conf.d/*.conf
上記だと「/etc/httpd/」から相対パスになるので、絶対パスは「/etc/httpd/conf.d/」になります。
この中に、「ssl.conf」があるので、これがapache組み込みモジュールのssl設定ファイルになります。
> 4.[apache]install時点で「SSL設定」ファイルも存在する。
これは誤りです。apacheでSSL通信するには「mod_ssl」をインストールする必要があります。
> 以上のことをふまえてもう一度挑戦してみます。ちなみに「FC4」のなかに古いバージョンの「httpd」はインストールできますか?
バージョン?ですか?apacheのバージョンは、1.3系と2.0系の2種類があり、FC4のデフォルトは2.0系です。
FC4に1.3系をインストールできるのか?(正常に動作するのか?)は不明です。
もしリビジョンの事を仰っているならば、古い、rpmパッケージやソースコードがあれば勿論インストールできます。
ただし、リビジョンが上がる訳には、セキュリティの虚弱性やバグ等の理由なので無闇に低いリビジョンを使用するのは良くないと思いますよ。
|
|
Re: サーバ用証明書の作成
( No.9 )
|
|
- 日時: 2005/09/07 00:14
- 名前: あおじし
<aojishi@po.people-i.ne.jp>
-
管理者様、頭が下がります、いろいろと丁寧な指導に感謝しています。
前回の書き込みの後、早速実行に移し、すべての関連ファイルを削除して0からHTTPDのインストールからやり直しました。
1. FC2のHTTPDはFC4のCDROMを要求され無理でした。
2. yumでHTTPDをインストール[バージョンhttpd-2.0.54-10.1]で
頭の部分が 1:2 と 2 で違いを確認。これが1.3系と2.0系だということを今日の返信で初めて知りました。
3. HTTPDをインストール
4. Mod_SSLをインストール後の関連ファイルの位置を確認
[root@coco ~]# ls –l httpd & mod_ssl 関連なし
[root@coco ~]# cd /etc/pki/tls/certs
[root@coco certs]# ls –l httpd & mod_ssl 関連 3
rw-r--r-- 1 root root 2240 5月 19 18:35 Makefile
-rw-r--r-- 1 root root 427833 5月 19 18:35 ca-bundle.crt
-rw------- 1 root root 1452 9月 5 01:05 localhost.crt 空
-rw-r--r-- 1 root root 610 5月 19 18:35 make-dummy-cert
[root@coco certs]# ls -l /etc/httpd/ httpd & mod_ssl 関連
合計 8
drwxr-xr-x 2 root root 4096 9月 6 01:36 conf Directory
drwxr-xr-x 2 root root 4096 9月 6 02:15 conf.d Directory
lrwxrwxrwx 1 root root 19 9月 6 01:23 logs -> ../../var/log/httpd
lrwxrwxrwx 1 root root 27 9月 6 01:23 modules -> ../../usr/lib/httpd/modules
lrwxrwxrwx 1 root root 13 9月 6 01:23 run -> ../../var/run
[root@coco certs]# ls -l /etc/httpd/conf/
合計 52
-rw-r--r-- 1 root root 33137 9月 6 01:36 httpd.conf 編集済み
-rw-r--r-- 1 root root 12958 7月 26 19:14 magic
[root@coco conf.d]# ls -l
合計 24
-rw-r--r-- 1 root root 392 7月 26 19:14 README
-rw-r--r-- 1 root root 560 8月 17 22:55 php.conf
-rw-r--r-- 1 root root 9799 7月 26 19:14 ssl.conf SSL設定ファイル
-rw-r--r-- 1 root root 299 7月 26 19:14 welcome.conf
「SSL設定ファイル」の位置は
/etc/httpd/conf/httpd/conf.d/ssl.conf だと確認できました。
これにより管理者様の1番目の解説を確認し理解できたと思います。
結論として当サイトの「SSL設定ファイル」の編集指摘部分を私の設定ファイルにも提要してみようと思います。長々とありがとうございました。この後もまた、何かあればお世話になります。
|
|
Re: サーバ用証明書の作成
( No.10 )
|
|
- 日時: 2005/09/07 18:24
- 名前: あおじし
<aojishi@po.people-i.ne.jp>
-
管理人者様、本当にありがとうございました。
やはりバージョンの違いでうまくいかなかったようです。
再度、FC4を利用のサイトでのチャレンジを試みました。
SSL設定ファイルの違いがありましたのでしょう、ファイルを開くコマンドを実行したら「注意! 末サポ^トのエスケープシーケンスを見つけました。
ESC [?12:25h」というコメントが出てきましたが、次回から表示しないにチェック入れて編集を実行し「httpd]を再起動させたあと https://IPAdd/でうまくセキュリティのダイアログも出て apacheのページを開くことが出来ました。
長い間対応いただきありがとうございました。
*追記
このスレッドを終了したいのですが、レンチアイコンがどこにあるのか判りません。
|
|
Re: サーバ用証明書の作成
( No.11 )
|
 |
- 日時: 2005/09/07 20:35
- 名前: 管理者
-
>> あおじし様
解決出来てよかったです。
レンチアイコンは親スレッドの右下に小さく表示されています。
|
このスレッドはクローズされています。記事の閲覧のみとなります。