子ページ
  • Apache(mod_ssl)編

このページの古いバージョンを表示しています。現在のバージョンを表示します。

現在のバージョンとの相違点 ページ履歴を表示

バージョン 1 次のバージョン »

改版履歴

版数

日付

内容

担当

V.1.1

2014/12/22

初版

NII

V.1.2

2015/5/15

中間CA証明書のファイル名を修正

NII

V.1.3

2015/12/11

サーバ証明書設定について注釈を追加

NII

V.2.0

2018/2/26

SHA1の記載内容の削除

NII

V.2.12018/3/26CT対応版の中間CA証明書について説明を追加NII


目次

1.Apache(mod_ssl) によるサーバ証明書の利用
1-1.前提条件
1-2.証明書のインストール
1-2-1 事前準備
1-2-2 中間CA証明書のインストール
1-2-3 サーバ証明書のインストール
1-3.Apacheの設定変更
1-4.サーバ証明書の置き換えインストール
1-5.起動確認

1.Apache (mod_ssl) によるサーバ証明書の利用

1-1.前提条件

Apache(mod_ssl)でサーバ証明書を使用する場合の前提条件について記載します。適時、サーバ証明書をインストールする利用管理者様の環境により、読み替えをお願いします。

(本マニュアルではRed Hat Enterprise Linux Server release 6.3 (Santiago)、OpenSSL 1.0.1e-fips 11 Feb 2013、mod_ssl-2.2.15-39.el6.x86_64、Apache/2.2.15 (Unix)での実行例を記載しております。  )

前提条件

  1. OpenSSLがインストールされていること
  2. Apacheがインストールされていること
  3. 使用されているApacheシステムに適当なmod_sslがインストールされていること
  4. ssl.confファイルまでの絶対パス:/etc/httpd /conf.d/ssl.conf
  5. httpd.confファイルまでの絶対パス:/etc/httpd/conf/httpd.conf
  6. ssl.confファイルの設定
    1. SSLCertificateFile: /etc/httpd/conf/ssl.crt/server.crt (サーバ証明書を配置)
    2. SSLCertificateKeyFile: /etc/httpd/conf/ssl.key/server.key (秘密鍵を配置)
    3. SSLCertificateChainFile: /etc/httpd/conf/ssl.crt/nii-odca3sha2.cer (SHA2の中間CA証明書を配置)


CSR作成時は既存の鍵ペアは使わずに、必ず新たにCSR作成用に生成した鍵ペアを利用してください。

更新時も同様に、鍵ペアおよびCSRを新たに作成してください。鍵ペアの鍵長は2048bitにしてください。

 

証明書取得URLの通知

【件名】
Webサーバ証明書発行受付通知

・・・・・

#以下に証明書の取得先が記述されています。
貴機関の登録担当者経由で発行申請をいただきましたサーバ証明書を配付いたします。
本日から1ヶ月以内に以下の証明書取得URLへアクセスし、サーバ証明書の取得を行ってください。
  証明書取得URL:

  https://scia.secomtrust.net/~ ←左記URLにアクセスし証明書の取得を行ってください。

  

・・・・・

 

 

1-2.証明書のインストール

本章ではApache(mod_ssl)への証明書のインストール方法について記述します。

1-2-1 事前準備

事前準備として、サーバ証明書、中間CA証明書を取得してください。

事前準備

  1. 「証明書の受領」で受領したサーバ証明書をserver.crtという名前で任意の場所に保存してください。

    中間CA証明書を準備します。
     次のURLにアクセスすることでリポジトリにアクセスすることが可能です。
    リポジトリ:https://repo1.secomtrust.net/sppca/nii/odca3/index.html

    【2018年3月26日 14時以前に発行されたサーバ証明書をインストールする場合】
    SHA2の中間CA証明書(SHA-2認証局 CA証明書)をnii-odca3sha2.cerという名前で保存したと仮定して以降記載します。

    【2018年3月26日 18時以降に発行されたサーバ証明書をインストールする場合】
    SHA2の中間CA証明書(SHA-2認証局 CA証明書 CT対応版)をnii-odca3sha2.cerという名前で保存したと仮定して以降記載します。

 

1-2-2 中間CA証明書のインストール

以下の手続きに従って、中間CA証明書のインストールを行ってください。

中間CA証明書のインストール

中間CA証明書は「1-1.前提条件」条件5で記述したssl.confファイルの「SSLCertificateChainFile」で指定します。
「1-2-1.事前準備」で取得した中間CA証明書を「1-1.前提条件」(c.)で記述したパスへ移動してください。

$ mv nii-odca3sha2.cer /etc/httpd/conf/ssl.crt/nii-odca3sha2.cer

 

1-2-3 サーバ証明書のインストール

新規でサーバ証明書をインストールする場合は以下の手続きによりサーバ証明書のインストールを実施してください。

サーバ証明書のインストール

サーバ証明書は「1-1.前提条件」条件6で記述したssl.confファイルの「SSLCertificateFile」で指定します。
「1-2-1.事前準備」で取得したサーバ証明書を「1-1.前提条件」(a.)で記述したパスへ移動してください。

$ mv server.crt /etc/httpd/conf/ssl.crt/server.crt

 

1-3.Apacheの設定変更

本章ではApacheに証明書を適用するための設定方法について記述します。「証明書の受領」で受領したサーバ証明書をserver.crtという名前で保存した場合の設定にて記載しています。

Apacheの設定変更

証明書のインストール終了後、「1-1. 前提条件」で記述したssl.confファイルの編集を行ってください。

証明書の更新を行った場合は新たに作成した秘密鍵をSSLCertificateKeyFileに、新たに作成した証明書をSSLCertificateFileに、新たに取得した中間CA証明書をSSLCertificateChainFileに設定してください。

(1-1 前提条件のとおりである場合は、設定の変更は必要ございません)

・・・
SSLCertificateFile:
デフォルトでは/etc/httpd/conf/ssl.crt/server.crt (サーバ証明書を配置)
SSLCertificateKeyFile:
デフォルトでは/etc/httpd/conf/ssl.key/server.key (秘密鍵を配置)
SSLCertificateChainFile:
デフォルトでは/etc/httpd/conf/ssl.crt/server-chain.crt(中間CA証明書を配置)
・・・

 

1-4.サーバ証明書の置き換えインストール

更新したサーバ証明書をインストールする場合は以下の手続きによりサーバ証明書のインストールを実施してください。

サーバ証明書の置き換えインストール

  1. 旧サーバ証明書の鍵ペアをコピーしてください。

    $ cd /etc/httpd/conf/ssl.key/
    $ cp server.key server.key.old


     

  2. 更新対象のサーバ証明書をコピーして、保管してください。

    $ cd /etc/httpd/conf/ssl.crt/
    $ cp server.crt server.crt.old



  3. 更新対象の中間CA証明書をコピーして、保管してください。

    $ cd /etc/httpd/conf/ssl.crt/ 
    $ cp nii-odca3sha2.cer nii-odca3sha2.cer.old



  4. 本マニュアルに従い、証明書の更新申請を実施してください。

  5. 「1-2-1.事前準備」で取得したサーバ証明書を「1-1.前提条件」(a.)で記述したパスへ移動してください。

    $ mv server.crt /etc/httpd/conf/ssl.crt/server.crt



  6. 「1-2-1.事前準備」で取得した中間CA証明書を「1-1.前提条件」(c.)で記述したパスへ移動してください。

    $ mv nii-odca3sha2.cer /etc/httpd/conf/ssl.crt/nii-odca3sha2.cer

 

1-5.起動確認

本章ではインストールした証明書によるSSL通信に問題がないか確認する方法を記述します。

証明書の反映・確認

  1. Apacheを再起動し、変更した設定を反映させます。

    $ /etc/init.d/httpd stop Apacheの停止
    $ /etc/init.d/httpd start Apacheの起動
  2. ブラウザ経由で、該当のサーバへアクセスし、SSL通信に問題がないことを確認してください。
  • ラベルがありません