はじめての自宅サーバ構築 - Fedora/CentOS -
Last Update 2018/05/30
[ 更新履歴 ] [ サイト マップ ] [ 質問掲示板 ] [ 雑談掲示板 ] [ リンク ]
トップ >> 当サイト情報 >> スレッド

????????????????????¨????°???¨??§????????°???????¨??????¬???????????°?????±??????????????§??????

このスレッドはクローズされています。記事の閲覧のみとなります。

 mod_sslをインストールしなおしたい
????????? 2010/06/01 13:45
????????? くろすけ

こんにちは
くろすけと申します。
こちらではいつも勉強させていただいております。

早速お尋ねですが

[root@centos ~]# yum -y install mod_ssl
Loading "fastestmirror" plugin
Loading mirror speeds from cached hostfile
* utterramblings: www.jasonlitka.com
* rpmforge: ftp-stud.fht-esslingen.de
* updates: ftp.jaist.ac.jp
* base: ftp.jaist.ac.jp
* addons: ftp.jaist.ac.jp
* extras: ftp.jaist.ac.jp
Setting up Install Process
Parsing package install arguments
Package mod_ssl - 1:2.2.14-jason.1.x86_64 is already installed.
Nothing to do

このようなメッセージが表示されます。実は一度実行済みなのでこのようなメッセージが
出るのかなと思います。

次に
CA用秘密鍵(ca.key)の作成を実行すると
[root@centos ~]# openssl genrsa -des3 -out /etc/httpd/conf/ca.key -rand rand.dat 1024
0 semi-random bytes loaded
Generating RSA private key, 1024 bit long modulus
..........++++++
.......++++++
e is 65537 (0x10001)
Enter pass phrase for /etc/httpd/conf/ca.key:
このように表示されます。
最後の行でパスワードを聞いてきているのですがここに何を入れても受け付けません。
おそらく前回入力したフレーズを完全に忘れてしまっているからだと思います。
お尋ねですがmod_sslを削除して最初から行うにはどうすればよいのでしょうか。
よろしくお願いいたします。



1.不明点・障害内容:
2.ログの有無   :
  (有:その内容) :
3.Distribution  :centos5
      Version :
4.Service Name  :
      Version :
5.ネットワーク構成:

■ コンテンツ関連情報

 Re: mod_sslをインストールしなおしたい ( No.1 )
????????? 2010/06/01 14:38
????????? stranger
?????§??? http://ja.528p.com/

/etc/httpd/conf/ca.key
/etc/httpd/conf/ca.crt
をどこかに移動して実行してみたらどうでしょう
 Re: mod_sslをインストールしなおしたい ( No.2 )
????????? 2010/06/01 23:27
????????? くろすけ

strangerさん
どうもありがとうございます。

/etc/httpd/conf/ca.key
/etc/httpd/conf/ca.crt
この2ファイルをリネームして再度実行したら次のような表示になりました。

Enter pass phrase for /etc/httpd/conf/ca.key:
19661:error:28069065:lib(40):UI_set_result:result too small:ui_lib.c:849:You must type in 4 to 8191 characters
 Re: mod_sslをインストールしなおしたい ( No.3 )
????????? 2010/06/02 00:36
????????? stranger
?????§??? http://ja.528p.com/

4文字以上の英数字を打ち込めば良いのでは?
 Re: mod_sslをインストールしなおしたい ( No.4 )
????????? 2010/06/02 10:50
????????? くろすけ

/etc/httpd/conf/ca.key
/etc/httpd/conf/ca.crt
この2ファイルをリネームして再度実行したら次のような表示になりました。
このときのパスワードは8文字英数字にしています。


Enter pass phrase for /etc/httpd/conf/ca.key:
19661:error:28069065:lib(40):UI_set_result:result too small:ui_lib.c:849:You must type in 4 to 8191 characters


おそらく一番最初の出発点のときにパスワードの入力ミスをしているような気がします。
 Re: mod_sslをインストールしなおしたい ( No.5 )
????????? 2010/06/02 12:38
????????? 天才かも

>おそらく一番最初の出発点のときにパスワードの入力ミスをしているような気がします。

関係ないのでは?このコマンドはパスワードを埋め込んでca.keyを作ってるだけなので
(フォーマット的な要件を満たしていれば)どんなパスワードでも生成されます。

書いてないけど、英数字は半角ですよね?(全角英数字はペケです)
 Re: mod_sslをインストールしなおしたい ( No.6 )
????????? 2010/06/02 13:01
????????? くろすけ

半角で入力しています。

ご存知でしたら教えてください。
yumでアンインストールをやろうとしていますが他に影響を及ぼしそうで躊躇しています。

yum remove mod_ssl

これでやり直せたらよいのですが。
 Re: mod_sslをインストールしなおしたい ( No.7 )
????????? 2010/06/02 15:14
????????? 管理者

> Enter pass phrase for /etc/httpd/conf/ca.key:
> このように表示されます。
> 最後の行でパスワードを聞いてきているのですがここに何を入れても受け付けません。
> おそらく前回入力したフレーズを完全に忘れてしまっているからだと思います。
> お尋ねですがmod_sslを削除して最初から行うにはどうすればよいのでしょうか。

まず、何を行いたいのでしょか?
CAを作り直したいのでしょうか?

パスフレーズを忘れてしまった場合は、「/etc/httpd/conf」内の「ca.*」を削除してから、再度コマンドを実施すれば可能です。

# cd /etc/httpd/conf
# ls -l ca.*
-rw-r--r-- 1 root root 1103 2005-08-02 15:03 ca.crt.org
drwxr-xr-x 2 root root 4096 2005-08-02 15:05 ca.db.certs
-rw-r--r-- 1 root root  126 2005-08-02 15:05 ca.db.index
-rw-r--r-- 1 root root  21 2005-08-02 15:05 ca.db.index.attr
-rw-r--r-- 1 root root   3 2005-08-02 15:05 ca.db.serial
-rw-r--r-- 1 root root  963 2005-08-02 15:07 ca.key
-rw-r--r-- 1 root root  963 2005-08-02 15:02 ca.key.org

# rm -rf ./ca.*

# openssl genrsa -des3 -out /etc/httpd/conf/ca.key -rand rand.dat 1024
    :
    :
    :


CAを作り直した場合は、サーバ証明書関係も再作成する必要があります。
上記同様に「server.*」を削除してから再作成して下さい。
 Re: mod_sslをインストールしなおしたい ( No.8 )
????????? 2010/06/02 17:32
????????? くろすけ

管理者様

有難うございます。


># rm -rf ./ca.*

削除して実行しましたが改善されませんでした。


>まず、何を行いたいのでしょか?

サーバー証明書の設定を行おうとしているのですが一番最初で足踏みしている状態です。
実は1年前にSNSを立ち上げまして少人数で運用しています。SNSの設定を行おう
とすると【この Web サイトのセキュリティ証明書には問題があります。】とメッセージが
表示されます。無視して設定はしていたのですがこれは仲間内にその旨伝えていたので
さほど問題視していなかったのですが、最近になってもう一つ別のSNSを立ち上げる
ことになりました。これも少人数ですがまったくの他人もいるので変な警告を見せるわ
けにはいかず以下のリストの設定に取り掛かった次第です。



-----------------------------------------------------------------------------
1.sslとは・・・(HTTPS : Hypertext Transfer Protocol Security)暗号化通信
2.sslモジュールのインストール
3.CA用秘密鍵(ca.key)の作成
4.CA用証明書(ca.crt)の作成
5.サーバ用秘密鍵(server.key)の作成
6.署名要求書(server.csr)の作成
7.サーバ用秘密鍵(server.key)からのパスフレーズ削除
8.サーバ用証明書(server.crt)の作成
 事前準備
 サーバ用証明書の作成
9.ブラウザインポート用のバイナリDERフォーマット(ca.der)の作成
10.作成した各ファイルの所有権変更
11.ssl設定ファイルの変更
12.apacheの再起動
13クライアントへのCA証明書インストール
14.公開前の準備
---------------------------------------------------------------------------
 Re: mod_sslをインストールしなおしたい ( No.9 )
????????? 2010/06/03 00:07
????????? 新高校生

>サーバー証明書の設定を行おうとしているのですが一番最初で足踏みしている状態です。
>実は1年前にSNSを立ち上げまして少人数で運用しています。SNSの設定を行おう
>とすると【この Web サイトのセキュリティ証明書には問題があります。】とメッセージが
>表示されます。無視して設定はしていたのですがこれは仲間内にその旨伝えていたので
>さほど問題視していなかったのですが、最近になってもう一つ別のSNSを立ち上げる
>ことになりました。これも少人数ですがまったくの他人もいるので変な警告を見せるわ
>けにはいかず以下のリストの設定に取り掛かった次第です。

サイトで解説している証明書はいわゆる「オレオレ証明書」ですから、
いくら証明書を作り直しても警告文が出るのでは?
嫌なら業者からSSL証明書を購入するしかないのでは?

ただしSNSでSSLを使わないという設定もあると思うけど
 Re: mod_sslをインストールしなおしたい ( No.10 )
????????? 2010/06/03 00:45
????????? くろすけ

証明書を作成したらメッセージは出なくなると思います。

>ただしSNSでSSLを使わないという設定もあると思うけど

これが可能であれば一番早道だと思います。がどこをいじって良いのか
今のところ分かりません。
 Re: mod_sslをインストールしなおしたい ( No.11 )
????????? 2010/06/03 06:30
????????? 管理者

>> まず、何を行いたいのでしょか?
>
> サーバー証明書の設定を行おうとしているのですが一番最初で足踏みしている状態です。
> 実は1年前にSNSを立ち上げまして少人数で運用しています。SNSの設定を行おう
> とすると【この Web サイトのセキュリティ証明書には問題があります。】とメッセージが
> 表示されます。無視して設定はしていたのですがこれは仲間内にその旨伝えていたので
> さほど問題視していなかったのですが、最近になってもう一つ別のSNSを立ち上げる
> ことになりました。これも少人数ですがまったくの他人もいるので変な警告を見せるわ
> けにはいかず以下のリストの設定に取り掛かった次第です。

なるほど、了解しました。

> サイトで解説している証明書はいわゆる「オレオレ証明書」ですから、
> いくら証明書を作り直しても警告文が出るのでは?
> 嫌なら業者からSSL証明書を購入するしかないのでは?

新高校生さまも書かれていますが、自前の証明書では警告が出ます。
この警告を出さないようにするには、そのブラウザにルート証明書をインポートしてもらう必要があります。

商用など「https」プロトコルでアクセスしても警告が出ない理由は正規な証明書(ベリサインなど)で
発行してもらっているためです。
正規な証明機関は既にブラウザにインポートされているので警告が出ません。

自前の物を利用してかつ各々にインポートしてもらうという前提なら、当該HPコンテンツ内の
「クライアントへのCA証明書インストール」で可能です。
 Re: mod_sslをインストールしなおしたい ( No.12 )
????????? 2010/06/03 08:37
????????? くろすけ

管理者様
有難うございます。
上記に羅列した13番の「クライアントへのCA証明書インストール」ですね。
ここまでこぎつけたいと思っていますがなにせ2番の「sslモジュールのインストール 」で
STOPしています。
再度お尋ねですが、mod_sslを削除して最初から行うにはどうすればよいのでしょうか。

yumでアンインストールすると他に影響があるみたいで最悪自宅サーバーが止まってしまったら
とか考えると実行に移せずにいます。

何卒、よろしくお願いいたします。
 Re: mod_sslをインストールしなおしたい ( No.13 )
????????? 2010/06/03 12:07
????????? stranger
?????§??? http://ja.528p.com/

yum reinstall mod_ssl
で上書きインストールしてくれると思う

削除したから、全ての関連ファイルが削除されるわけではない
インストールされたファイルが削除されるだけです
自分で作成したファイルは残ります

6月2日の時点で2.2.15のパッケージがアップロードされています
入れるならこちらでしょう

エラーの件はmod_sslとは関係ないと思う

/etc/httpd/conf以外の場所でca.keyを作ったらどうなりますか
たとえば/rootで
openssl genrsa -des3 -out ca.key -rand rand.dat 1024
 Re: mod_sslをインストールしなおしたい ( No.14 )
????????? 2010/06/03 15:40
????????? くろすけ

usrの下にworkディレクトリを作成してそこで実行しました。
結果は以下のとおりですが前回と同じものが出ています。
パスワードの文字列は間違いないです。
yum reinstall mod_sslは実行していません。
もしかしたらアンインストールをしてからやったがよいのでしょうか。



[root@centos work]# openssl genrsa -des3 -out ca.key -rand rand.dat 1024
0 semi-random bytes loaded
Generating RSA private key, 1024 bit long modulus
..................++++++
..............................................................................++++++
e is 65537 (0x10001)
Enter pass phrase for ca.key:
1201:error:28069065:lib(40):UI_set_result:result too small:ui_lib.c:849:You must type in 4 to 8191 characters
 Re: mod_sslをインストールしなおしたい ( No.15 )
????????? 2010/06/03 18:11
????????? 新高校生

>これも少人数ですがまったくの他人もいるので変な警告を見せるわ
> けにはいかず以下のリストの設定に取り掛かった次第です


>上記に羅列した13番の「クライアントへのCA証明書インストール」ですね。

一言で言うとその通りCA証明書のインストールということなのですが、
実際問題として、"まったくの他人様"がSNSにアクセスする前に、
他人様各自で証明書をインストールしてもらう必要があるのですが、
それ自体が「変な警告」になりかねないですよね。工夫できればいいのですが。

それと一番分からないのが、opensslのコマンドでエラーが出ているのに、
なぜ mod_sslを再インストールすると直ると思ってるのか?
非論理的にしか思えないのですが。。。これに関して一言の言及もないですしね。

あんまり書くとイメージ悪くなるんだろうなぁ・・・
 Re: mod_sslをインストールしなおしたい ( No.16 )
????????? 2010/06/04 17:16
????????? 管理者

当方でもどの時にエラーが発生するか試してみました。

# openssl genrsa -des3 -out ca.key -rand rand.dat 1024
0 semi-random bytes loaded
Generating RSA private key, 1024 bit long modulus
.........++++++
.................++++++
e is 65537 (0x10001)
Enter pass phrase for ca.key:
140708371007304:error:28069065:lib(40):UI_set_result:result too small:ui_lib.c:869:You must type in 4 to 8191 characters


全く同じ事象です。
ただし、故意的にパスフレーズを入力しなかった場合(または4〜8191文字数以外の時)です。
キーボードが特定文字を受け付けてないって事はありませんか?
例えばパスフレーズを「abcd」とした場合、bが入力できないと「acd」の3文字になりますよね?
(まあ、ちょっと考えずらいですけど・・・・)

後は、パスフレーズを全部数字にしている場合、テンキーは「NumLock」されていますか?


予め、パスフレーズをコピーしておいて、ペーストしてみるとか・・・・
 Re: mod_sslをインストールしなおしたい ( No.17 )
????????? 2010/06/05 10:07
????????? くろすけ

管理者様
有難うございます。

私がその作業を最初に行ったときの体調が芳しくなく何かしらの誤操作をしていることは
充分考えられます。
試しに今から【yum reinstall mod_ssl】をして見ます。
 Re: mod_sslをインストールしなおしたい ( No.18 )
????????? 2010/06/05 16:23
????????? くろすけ

yum remove mod_sslを実行して再度インストールをしましたが
同じエラーが出ました。

最初の一度の過ちがこうも尾を引くとは・・・・
困り果てています。
 Re: mod_sslをインストールしなおしたい ( No.19 )
????????? 2010/06/06 21:54
????????? まさお

もう諦めなはれ。
お主のスキルでは不可能だ。
 Re: mod_sslをインストールしなおしたい ( No.20 )
????????? 2010/06/06 23:28
????????? くろすけ

わざわざ入らんことをいうやつだ。

今、真剣に考えているのに邪魔するな!
 Re: mod_sslをインストールしなおしたい ( No.21 )
????????? 2010/06/07 10:16
????????? 管理者

再度、確認させてもらいたいのですが、CAを作る時の「work」ディレクトリ内に、「ca.crt」等のファイルは存在していませんよね?

一番最初の「Enter pass phrase for ca.key:」は、パスフレーズの作成みたいなもので、2回目以降は前回と同じパスフレーズを要求されます。

これは、先程お聞きした「ca.*」の有無によって変わってきます。
 Re: mod_sslをインストールしなおしたい ( No.22 )
????????? 2010/06/07 11:47
????????? くろすけ

管理者様

ディレクトリ「work」は新規に作成しましたので何も無いまっさらな状態から
行いました。
 Re: mod_sslをインストールしなおしたい ( No.23 )
????????? 2010/06/07 12:29
????????? 管理者

> ディレクトリ「work」は新規に作成しましたので何も無いまっさらな状態から行いました。
了解しました。何かが変になってしまってるんですね・・・

暗号化方式を利用しないで作成した方が早いかもしれません。

CA,Serverを作る時に「-des3」オプションを取って作ってみてください。
パスフレーズは聞いてこないで生成されるはずです。
結局、keyファイルは訳のわからない文字の羅列なのでシビアになる必要はないと思います。

例) ca の場合
# openssl genrsa -out ca.key -rand rand.dat 1024
 Re: mod_sslをインストールしなおしたい ( No.24 )
????????? 2010/06/07 15:20
????????? くろすけ

管理者様

ご教示の方法により大分先へ進むことが出来て喜んでおります。


サーバ用証明書の作成のところでエラーが出ています。
お尋ねですがサーバ用のパスフレーズとCA用のパスフレーズのデータは厳格なものでしょうか。
ミスをしているとするとここしかありません。

Sign the certificate? [y/n]:y 

CERTIFICATE WILL NOT BE CERTIFIED
CA verifying: server.crt <-> CA cert
unable to load certificate
4102:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:644:Expecting: TRUSTED CERTIFICATE

よろしくお願いいたします。
 Re: mod_sslをインストールしなおしたい ( No.25 )
????????? 2010/06/07 15:59
????????? 管理者

CA用証明書(ca.crt)と署名要求書(server.csr)を作成した時に、
Common Name を双方とも同じにしていませんか?

うる覚えですが、Organization Name も同様だった気がします。
 Re: mod_sslをインストールしなおしたい ( No.26 )
????????? 2010/06/07 16:00
????????? 森のくまさん

http://d.hatena.ne.jp/sabakan_haruka/20080430
 Re: mod_sslをインストールしなおしたい ( No.27 )
????????? 2010/06/07 16:31
????????? くろすけ

なるほど
厳格ということは分かりました。

自宅サーバーを構築するときに色々名称を付けていますがまずここをきちんと整理しないと
先に進めないですね。
 Re: mod_sslをインストールしなおしたい ( No.28 )
????????? 2010/06/07 20:55
????????? くろすけ

CA用証明書(ca.crt)の作成ですが。。。

各項目を入力する場面で本来ならば

国コードを入力
Country Name (2 letter code) [GB]:JP
都道府県を入力
State or Province Name (full name) [Berkshire]:Chiba
市町村を入力
Locality Name (eg, city) [Newbury]:Yachiyo
組織名を入力
Organization Name (eg, company) [My Company Ltd]:Private_CA
組織内ユニット名を入力
Organizational Unit Name (eg, section) []:Admin
サーバ名(ホスト名)を入力
Common Name (eg, your name or your server's hostname) []:fedora.kajuhome.com
管理者メールアドレスを入力
Email Address []:webmaster@kajuhome.com

項目ごとに入力を促すはずと思うのですが私のマシンでは

Country Name (2 letter code) [GB]:jp

State or Province Name (full name) [Berkshire]:Locality Name (eg, city) [Newbury]:Organization Name (eg, company) [My Company Ltd]:

Organizational Unit Name (eg, section) []:Common Name (eg, your name or your server's hostname) []:

Email Address []:[root@centos ~]#

のように表示されるので入力できません。jpだけは入力できていますが、他の項目は入力しようがありません。
試しに「,」や「:」で区切ったりして入力しましたが駄目でした。
centos5を使っていますが項目ごとに入力するような設定があるのでしょうか。
 Re: mod_sslをインストールしなおしたい ( No.29 )
????????? 2010/06/08 09:16
????????? 管理者

何か、くろすけさんの環境が変ですね・・・・

当方も、同じCentOSで確認しています。(以下がその時の結果になります。)

[root@centos work]# cat /etc/issue
CentOS release 5.5 (Final)
Kernel \r on an \m
[root@centos work]# uname -a
Linux centos.kajuhome.com 2.6.18-194.3.1.el5 #1 SMP Thu May 13 13:08:30 EDT 2010 x86_64 x86_64 x86_64 GNU/Linux
[root@centos work]# openssl version
OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008


[root@centos work]# openssl genrsa -out ca.key -rand rand.dat 1024
0 semi-random bytes loaded
Generating RSA private key, 1024 bit long modulus
.............++++++
.............++++++
e is 65537 (0x10001)

[root@centos work]# openssl req -new -x509 -days 365 -key ca.key -out ca.crt
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:JP
State or Province Name (full name) [Berkshire]:Chiba
Locality Name (eg, city) [Newbury]:Yachiyo
Organization Name (eg, company) [My Company Ltd]:Private_CA
Organizational Unit Name (eg, section) []:Admin
Common Name (eg, your name or your server's hostname) []:centos.kajuhome.com
Email Address []:webmaster@kajuhome.com

[root@centos work]# ls -la
合計 20
drwxr-xr-x 2 root root 4096 6月 8 08:38 .
drwxr-x--- 17 root root 4096 6月 8 08:30 ..
-rw-r--r-- 1 root root 1346 6月 8 08:38 ca.crt
-rw-r--r-- 1 root root 887 6月 8 08:37 ca.key


上記の様に、全ての項目について入力を求められてきます。
 Re: mod_sslをインストールしなおしたい ( No.30 )
????????? 2010/06/08 10:13
????????? くろすけ

管理者様

誠に恐れ入ります。

>何か、くろすけさんの環境が変ですね・・・・

そのような気がします。


ところでサーバ用証明書の作成までこぎつけました。今、「apache」の再起動が成功しました。

どうして上手く入力出来たかと申しますと5回ぐらい削除と設定の繰り返しをしていましたが
5回目ぐらいのときから一般ユーザーでログインしました。今までスーパーユーザーでログイ
ンしていました(これをやってはいけないことは承知の上で)。
それで、sudeを頭に付けて実行したら上手くいきました。こんなことをやっていたらもうやめ
なはれと怒られそうですが、諦めずに次に進みます。
 Re: mod_sslをインストールしなおしたい ( No.31 )
????????? 2010/06/11 08:50
????????? くろすけ

こんにちは。

管理者様はじめ皆様には大変お世話になりました。

現在の状況をお知らせします。

結論から言いますと【この Web サイトのセキュリティ証明書には問題があります。】の表示をなくすことは
出来ませんでした。

再度最初からやり直してみたらパスワードの問題も解決していました。
何べんも試行錯誤を重ねていたらだんだん理解できるようになってきまして一番のポイントはサーバ用証明書の作成の「commonName」ということも分かりました。
「commonName」=FQDNは絶対条件です。
本来であればここでハッピーエンドのはずですがついに上記のメッセージを消すことが出来なかったのは残念です。もう私の設定が間違っていないという前提ですが、
新高校生さんが言っておられた様にこのメッセージは消すことが出来ないのかもしれません。

今度は有料の機関で試してみようと思っています。

どうもありがとうございました。
 Re: mod_sslをインストールしなおしたい ( No.32 )
????????? 2010/06/11 12:37
????????? うんこたれぞう

>結論から言いますと【この Web サイトのセキュリティ証明書には問題があります。】の表示をなくすことは
>出来ませんでした。

皆それ位知ってるわ。

>新高校生さんが言っておられた様にこのメッセージは消すことが出来ないのかもしれません。

出来ないのかもしれませんではなく絶対に出来ない。オレオレ証明書をインポートしない限り。
 Re: mod_sslをインストールしなおしたい ( No.33 )
????????? 2010/06/11 17:00
????????? くろすけ

知ってるならそれなりの投稿をすればよいのに・・・

実社会でも糞みたいな扱いを受けているのだろうな・・・

不潔な卑怯なやつ

■ その他

ページ先頭へ

Copyright(©)2004-2018 First home server construction. All Right Reserved.