579
回編集
差分
提供: fukudat.net
ナビゲーションに移動検索に移動
細
すると、すぐに証明書がダウンロードされる。すると、すぐに証明書 (server-common-name.crt) 、中間CA証明書 (ca-bundle.ca) がダウンロードされる。
→CSR, Key, CRT の中身の確認
== 証明書の発行 ==
作成したCSRの中身をコピーバッファにコピーして、SSLストアのCSR入力ボックスにペーストする。
もしサーバーがクラッシュしたりして秘密鍵を壊してしまったら、同じ手順で新しく CSR を作り直せば、いつでも再発行してもらえる。を作り直して、いつでも https://product.fujissl.jp/ で再発行してもらえる。ただし、証明書を購入した際に入力した common name とメールアドレスのペアを正しく入力すること。
== パスフレーズつき秘密鍵のパスフレーズ解除 ==
$ openssl rsa < XXXXX.key.pem > XXXXX.key
</pre>
これで web server をリスタートするたびにパスフレーズは不要。ただし、permission をリスタートするたびにパスフレーズは不要。ただし、ファイルの permission に充分注意する。 == 証明書・秘密鍵の配置 ==Ubuntuの場合、以下のpathに配置する。owner, permission に注意。(ただし、XXXXX = common name)<pre>$ sudo ls -l /etc/ssl/certs/XXXXX.crt /etc/ssl/certs/ca-bundle.ca /etc/ssl/private/XXXXX.key-rw-r--r-- 1 root root 3276 Feb 1 19:05 /etc/ssl/certs/ca-bundle.ca-rw-r--r-- 1 root root 2319 Feb 1 19:14 /etc/ssl/certs/XXXXX.crt-rw------- 1 root ssl-cert 1679 Feb 1 19:23 /etc/ssl/private/XXXXX.key</pre> apacheの設定ファイル (/etc/apache2/site-available/default-ssl.conf) がこれらのファイルを参照していることを確認する。 [[Postfix#SSL Certificate の設定]]も参照。 == CSR, Key, CRT の中身の確認 ==<pre>$ openssl req -in XXXXX.csr -text -noout</pre> <pre>$ openssl x509 -in XXXXX.crt -text -noout</pre> <pre>$ openssl rsa -in XXXXX.key -text -noout</pre> modulusの値が一致すれば、正しい。 == WWWの有無両方で同一の証明書を使用する == 認証ファイルへのアクセスURLは「www」の有り無し両方のURLにアクセスした状態での確認が必要です。 * http://www.example.com/.well-known/pki-validation/fileauth.txt 又は* https://www.example.com/.well-known/pki-validation/fileauth.txt 及び * http://example.com/.well-known/pki-validation/fileauth.txt 又は* https://example.com/.well-known/pki-validation/fileauth.txt
