[vmware]centos6.4でおれおれ証明書を利用してhttps通信

環境                                                                                

OS:centos6.4
VMWARE PLAYER

web1 <—–browser(root証明書)—–> オレオレ証明局
web1 <—–browser(root証明書、中間証明書、cross root証明書)—–> verysign(信頼された証明局)

今回はオレオレ証明局、つまり自分が証明局になってsslを導入してみよう
ssl導入時使うモジュールとしてはmod_ssl + open_ssl

流れ                                                                                                

おれおれ証明書作成
ssl設定追加
ブラウザにroot証明書import
httpsで通信テスト

 

オレオレ証明書作成                               

●秘密鍵(server.key)の作成

[code language=”bash”]
openssl genrsa -aes128 2048 > server.key
[/code]

●公開鍵(server.csr)の作成

[code language=”bash”]
openssl req -new -key server.key > server.csr
[/code]

common nameを除いて適当に書く(あくまでテストだという前提)
※今回はcommon nameをweb1.test.comと書く

●証明書(server.crt)を作成(verysignが発行してくれる部分になる)

[code language=”bash”]
openssl genrsa -aes128 2048 > very_server.key
openssl x509 -in server.csr -days 365 -req -signkey very_server.key > server.crt
[/code]

※上のserver.keyを利用しても構わないが実際にverysignが証明書を発行してくれる時は別途keyをお持ちしてるので
概念として紛らわしくさせないため秘密機を分けて説明

 

Apache mod_ssl の設定                          

[code language=”bash”]
yum install mod_ssl
yum install startssl
[/code]

 

[code language=”bash”]
vim /etc/httpd/conf.d/ssl.conf

LoadModule ssl_module modules/mod_ssl.so
Listen 443
NameVirtualHost *:443 //これぐらいあるか確認して

//省略
SSLCertificateFile /etc/httpd/conf.d/server.crt  //証明書を追加
SSLCertificateKeyFile /etc/httpd/conf.d/server.key //秘密鍵追加

//SSLCertificateChainFile xxx.crt //もしverysignから発行してもらった場合はここに中間証明書を追加する

[/code]

動作確認                                     

オレオレ証明書は使用する特定ブラウザにroot証明書(自分のcrt?)を入れる作業が必要
verysignから発行したものは既にブラウザに登録されているはずですので登録は不要

その作業をしてから

https://web1.test.comにアクセスした時、警告がでなければ成功
また、指定した証明期間が表示されているかも確認する

主に参考になったサイト
http://www.maruko2.com/mw/Apache/SSL%E8%87%AA%E5%B7%B1%E8%A8%BC%E6%98%8E%E6%9B%B8%E3%81%AE%E4%BD%9C%E6%88%90%E3%81%A8mod_ssl%E3%81%AE%E8%A8%AD%E5%AE%9A

カテゴリー: ssl

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です