改版履歴 |
版数 | 日付 | 内容 | 担当 |
V.1.1 | 2014/12/22 | 初版 | NII |
V.1.2 | 2015/5/15 | 中間CA証明書のファイル名を修正 | NII |
V.1.3 | 2015/12/11 | サーバ証明書設定について注釈を追加 | NII |
V.2.0 | 2018/2/26 | SHA1の記載内容の削除 | NII |
V.2.1 | 2018/3/26 | CT対応版の中間CA証明書について説明を追加 | NII |
V.2.2 | 2018/4/27 | Apache(mod_ssl)2.4.8以降における手順を追加 | NII |
V.2.3 | 2018/7/9 | ECDSA対応版の中間CA証明書についての説明を追加 | NII |
V.2.4 | 2019/4/22 | ECC認証局 中間CA証明書の名称を変更 | NII |
V.2.5 | 2020/4/13 | 中間CA証明書のファイル名を修正 | NII |
V.2.6 | 2020/8/25 | 中間CA証明書の記載内容を修正 | NII |
V.2.7 | 2020/12/22 | 中間CA証明書を修正 | NII |
目次
1. Apache(mod_ssl) によるサーバ証明書の利用
1-1. 前提条件 前提条件
1-2. 証明書のインストール 証明書のインストール
1-2-1. 事前準備 事前準備
1-2-2. 中間CA証明書のインストール 中間CA証明書のインストール
1-2-3. サーバ証明書のインストール サーバ証明書のインストール
1-3. Apacheの設定変更 Apacheの設定変更
1-4. サーバ証明書の置き換えインストール サーバ証明書の置き換えインストール
1-5. 起動確認
アンカー |
---|
| _Toc406680522 |
---|
| _Toc406680522 |
---|
|
1. Apache (mod_ssl) によるサーバ証明書の利用 アンカー |
---|
| _Toc406680523 |
---|
| _Toc406680523 |
---|
|
1-1. 前提条件
...
前提条件 |
- OpenSSLがインストールされていること
- Apacheがインストールされていること
- 使用されているApacheシステムに適当なmod_sslがインストールされていること
- ssl.confファイルまでの絶対パス:/etc/httpd/conf.d/ssl.conf
httpd.confファイルまでの絶対パス:/etc/httpd/conf/httpd.conf
ssl.confファイルの設定 a. SSLCertificateFile: /etc/httpd/conf/ssl.crt/server.crt (サーバ証明書を配置) b. SSLCertificateKeyFile: /etc/httpd/conf/ssl.key/server.key (秘密鍵を配置) c. SSLCertificateChainFile: /etc/httpd/conf/ssl.crt/nii-odca3sha2odca3sha2ct.cer (SHA-2認証局 中間CA証明書を配置) または /etc/httpd/conf/ssl.crt/nii-odca3ecdsa.cer (ECC認証局 中間CA証明書を配置) 情報 |
---|
title | Apache2.4.8以降をご利用の場合 |
---|
| a. SSLCertificateFile: /etc/httpd/conf/ssl.crt/server.crt (サーバ証明書と中間CA証明書を連結した証明書を配置) b. SSLCertificateKeyFile: /etc/httpd/conf/ssl.key/server.key (秘密鍵を配置) |
|
...
アンカー |
---|
| _Toc406680529 |
---|
| _Toc406680529 |
---|
|
1 1-2. 証明書のインストール
Apache(mod_ssl)への証明書のインストール方法について記述します。
...
事前準備 |
別ページ記載の手順(※)にて取得したサーバ証明書をserver.crtという名前で任意の場所に保存してください。 ※「サーバー証明書インストールマニュアル / Apache・IIS・Nginx編 / 事前準備 ~ 証明書の申請から取得まで」 - 「3.証明書の申請から取得まで」 を参照 - 中間CA証明書を準備します。
- 次のURLにアクセスすることでリポジトリにアクセスすることが可能です。
リポジトリ:●リポジトリ(証明書の発行日時が2020年12月25日0時以降の場合):https://repo1.secomtrust.net/sppca/nii/ odca3odca4/index.html 【2018年3月26日 14時以前に発行されたサーバー証明書(sha256WithRSAEncryption)をインストールする場合】 SHA-2認証局 中間CA証明書をnii-odca3sha2.cerという名前で保存したと仮定して以降記載します。
- 【2018年3月26日 19時以降に発行されたサーバー証明書(sha256WithRSAEncryption)をインストールする場合】
SHA-2認証局 中間CA証明書(CT対応版)をnii-odca3sha2.cerという名前で保存したと仮定して以降記載します。 サーバー証明書 RSA認証局 中間CA証明書 「NII Open Domain CA - G7 RSA(SC Organization Validation CA) CA証明書(nii-odca4g7rsa.cer)」 サーバー証明書 ECC認証局 中間CA証明書 「NII Open Domain CA - G7 ECC(SC Organization Validation CA) CA証明書(nii-odca4g7ecc.cer)」
●リポジトリ(証明書の発行日時が2020年12月25日0時以前の場合):https://repo1.secomtrust.net/sppca/nii/odca3/index.html SHA-2認証局CT対応版サーバ証明書 「国立情報学研究所 オープンドメイン SHA-2認証局 CT対応版 CA証明書(nii-odca3sha2ct.cer)」 ECC認証局サーバ証明書 「国立情報学研究所 オープンドメイン ECC認証局 CA証明書(nii-odca3ecdsa201903.cer)」
【SHA-2認証局 CT対応版 CA証明書(nii-odca3sha2ct.cer)をインストールする場合】 SHA-2認証局 CT対応版 CA証明書をnii-odca3sha2ct.cerという名前で保存したと仮定して以降記載します。 【サーバー証明書(ecdsa-with-SHA384)をインストールする場合】
ECC認証局 中間CA証明書はnii-odca3ecdsa******.cer(※)- ECC認証局 中間CA証明書 をnii-odca3ecdsa.cerという名前で保存したと仮定して以降記載します。
※CA Issuersのcerファイル名の******部分には、年月が入ります。(例:nii-odca3ecdsa201903.cer)
|
アンカー |
---|
| _Toc406680531 |
---|
| _Toc406680531 |
---|
|
1-2-2. 中間CA証明書のインストール
...
中間CA証明書のインストール |
中間CA証明書は「1-1.前提条件」条件6.で記述したssl.confファイルの「SSLCertificateChainFile」で指定します。 「1-2-1. 事前準備」で取得した中間CA証明書を「1-1. 前提条件」条件6.c.で記述したパスへ移動してください。 SHA-2認証局 中間CA証明書の場合 $ mv nii-odca3sha2odca3sha2ct.cer /etc/httpd/conf/ssl.crt/nii-odca3sha2odca3sha2ct.cer |
ECC認証局 中間CA証明書の場合 $ mv nii-odca3ecdsa******.cer /etc/httpd/conf/ssl.crt/nii-odca3ecdsa.cer |
情報 |
---|
title | Apache2.4.8以降をご利用の場合 |
---|
| 後述の「1-2-3. サーバ証明書のインストール」手順にて記載します。 (Apache2.4.8以降では設定ファイルで中間CA証明書を指定するSSLCertificateChainFileディレクティブが廃止されました) |
|
...
Apacheの設定変更 |
証明書のインストール終了後、「1-1. 前提条件」で記述したssl.confファイルの編集を行ってください。 (既に「1-1. 前提条件」の通りにssl.confファイル設定済である場合は、当手順は不要です)
証明書の更新を行った場合は新たに作成した秘密鍵をSSLCertificateKeyFileに、新たに作成したサーバ証明書をSSLCertificateFileに、新たに取得した中間CA証明書をSSLCertificateChainFileに設定してください。 ・・・ SSLCertificateFile: ←デフォルトでは/etc/httpd/conf/ssl.crt/server.crt (サーバ証明書を配置) SSLCertificateKeyFile: ←デフォルトでは/etc/httpd/conf/ssl.key/server.key (秘密鍵を配置) SSLCertificateChainFile: ←デフォルトでは/etc/httpd/conf/ssl.crt/server-chain.crt(中間CA証明書を配置) ・・・
|
Apacheを再起動し、変更した設定を反映させます。
$ /etc/init.d/httpd stop ←Apacheの停止 $ /etc/init.d/httpd start ←Apacheの起動 |
情報 |
---|
title | Apache2.4.8以降をご利用の場合 |
---|
| 証明書の更新を行った場合は新たに作成した秘密鍵をSSLCertificateKeyFileに、新たに作成したサーバ証明書と中間CA証明書を連結した証明書をSSLCertificateFileに設定してください。 ・・・ SSLCertificateFile: ←デフォルトでは/etc/httpd/conf/ssl.crt/server.crt (連結した証明書を配置) SSLCertificateKeyFile: ←デフォルトでは/etc/httpd/conf/ssl.key/server.key (秘密鍵を配置) ・・・ |
Apacheを再起動し、変更した設定を反映させます。
$ /etc/init.d/httpd stop ←Apacheの停止 $ /etc/init.d/httpd start ←Apacheの起動 |
|
|
アンカー |
---|
| _Toc406680534 |
---|
| _Toc406680534 |
---|
|
1-4. サーバ証明書の置き換えインストール
...
サーバ証明書の置き換えインストール |
- 旧サーバ証明書の鍵ペアをコピーしてください。
$ cd /etc/httpd/conf/ssl.key/ $ cp server.key server.key.old |
2. 更新対象のサーバ証明書をコピーして、保管してください。 $ cd /etc/httpd/conf/ssl.crt/ $ cp server.crt server.crt.old |
3. 更新対象の中間CA証明書をコピーして、保管してください SHA-2認証局 中間CA証明書の場合 $ cd /etc/httpd/conf/ssl.crt/ $ cp nii-odca3sha2odca3sha2ct.cer nii-odca3sha2odca3sha2ct.cer.old |
ECC認証局 中間CA証明書の場合
$ cd /etc/httpd/conf/ssl.crt/ $ cp nii-odca3ecdsa.cer nii-odca3ecdsa.cer.old |
4. 別ページ記載の手順「支援システム操作手順書 / 利用管理者用」 - 「2-2. サーバ証明書更新申請手続き概要」に従い、証明書の更新申請を実施してください。
5. 「1-2-1. 事前準備」で取得したサーバ証明書を、「1-1. 前提条件」条件6.a.で記述したパスへ移動してください。 $ mv server.crt /etc/httpd/conf/ssl.crt/server.crt |
6. 「1-2-1. 事前準備」で取得した中間CA証明書を、「1-1. 前提条件」条件6.c.で記述したパスへ移動してください。
SHA-2認証局 中間CA証明書の場合 $ mv nii-odca3sha2odca3sha2ct.cer /etc/httpd/conf/ssl.crt/nii-odca3sha2odca3sha2ct.cer |
ECC認証局 中間CA証明書の場合 $ mv nii-odca3ecdsa******.cer /etc/httpd/conf/ssl.crt/nii-odca3ecdsa.cer |
情報 |
---|
title | Apache2.4.8以降をご利用の場合 |
---|
| 1. 旧サーバ証明書の鍵ペアをコピーしてください。 $ cd /etc/httpd/conf/ssl.key/ $ cp server.key server.key.old |
2. 更新対象のサーバ証明書をコピーして、保管してください。
$ cd /etc/httpd/conf/ssl.crt/ $ cp server.crt server.crt.old |
3. 別ページ記載の手順「支援システム操作手順書 / 利用管理者用」 - 「2-2. サーバ証明書更新申請手続き概要」に従い、証明書の更新申請を実施してください。
4. 「1-2-1. 事前準備」で取得したサーバ証明書、中間CA証明書を用いて「1-2-3. サーバ証明書のインストール」の手順を実施し、連結してください。
|
|
...
証明書の反映・確認 |
1. Apacheを再起動し、変更した設定を反映させます。 $ /etc/init.d/httpd stop ←Apacheの停止 $ /etc/init.d/httpd start ←Apacheの起動 |
2. ブラウザ経由で、該当のサーバへアクセスし、SSL通信に問題がないことを確認してください。
|
...