CentOS 6/サーバー用秘密鍵・証明書作成(mod_ssl)



前書き

ここでは SSL で使用する 秘密鍵・証明書 の作成する方法を記載します。

秘密鍵の作成

サーバー用秘密鍵作成を作成します。

# cd /etc/pki/tls/certs
# make server.key
umask 77 ; \
/usr/bin/openssl genrsa -des3 1024 > server.key
Generating RSA private key, 1024 bit long modulus
................................................................++++++
................................................++++++
e is 65537 (0x10001)
Enter pass phrase: (任意のパスワードを入力)
Verifying - Enter pass phrase: (任意のパスワードを再入力)

Apache起動時にパスワード要求されないようにするため、サーバー用秘密鍵を削除します。

# openssl rsa -in server.key -out server.key
Enter pass phrase for server.key: (上記で入力したパスワードを入力)
writing RSA key


証明書作成

ディレクトリ移動

# cd /etc/pki/tls/certs/

サーバー用証明書有効期限の変更(1年を3年に修正)

# sed -i 's/365/1095/g' Makefile

サーバー用秘密鍵・証明書作成

# make server.crt
umask 77 ; \
        /usr/bin/openssl req -utf8 -new -key server.key -x509 -days 365 -out server.crt -set_serial 0
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----

SSLに登録するサーバー情報を入力します(半角英数字)。
国名

Country Name (2 letter code) [GB]:JP

都道府県名

State or Province Name (full name) [Berkshire]:

市区町村名

Locality Name (eg, city) [Newbury]:

企業(サイト)名

Organization Name (eg, company) [My Company Ltd]:

部署名

Organizational Unit Name (eg, section) []:

サーバー名

Common Name (eg, your name or your server's hostname) []:

管理者メールアドレス

Email Address []:


証明書作成(SHA-2対応用)

SHA-1証明書が各ブラウザで利用できなくなるため、SHA-2に対応した証明書を作成します。

サイバートラスト株式会社 - SSL SHA-1 証明書の受付終了と SHA-2 証明書への移行について

# openssl req -new -x509 -keyout server.key -out server.crt -days 1095 -sha256

※上記ではサーバー用証明書有効期限をデフォルトでは1年を3年に変更するためのオプションを追加しました。
最後の -sha256 のオプションを追加することで SHA-2 に対応した証明書を作成できます。

証明書の再発行

期限が切れるため証明書の再発行を行う際は、作成と同じ手順で作成します。



Last-modified: 2016-03-03 (木) 06:21:30 (1018d)