この業界10年いて何度も!何度も!やってるのに!また!

・・・またSSLの設定で2時間ハマってしまった。

おれの怒りが有頂天になった。

もはや俺に残された手は手順を刺青として彫る以外・・・。

その前に最後のあがきとしてブログに残してみます。(何度となくWikiに残してるのに、それなのにハマるのです。)

CentOS 5.2

privateキー作成。

openssl genrsa -des3 -out /etc/pki/tls/private/example.com.key 1024

パスワード削除版privateキー作成。

openssl rsa -in example.com.key -out example.com-nopass.key

キーからcsr作成。

openssl req -new -key /etc/pki/tls/private/example.com.key -out /etc/pki/tls/certs/example.com.csr

csrの内容を確認。(この出力を保存しておくと安心)

openssl req -text -in /etc/pki/tls/certs/example.com.csr

/etc/pki/tls/certs/example.com.csr を認証局に送る。(ベリサインとかグローバルサインとか)

認証局から送られてきた、「証明書」と「中間証明書」をそれぞれ、 「/etc/pki/tls/certs/example.com.crt」と「/etc/pki/tls/certs/example.com-chain.crt」に保存する。 (べりサインなどの場合は中間証明書は要らない)

/etc/httpd/conf.d/ssl.conf を下記のように変更する。

diff /etc/httpd/conf.d/ssl.conf*
112,113c112
< #SSLCertificateFile /etc/pki/tls/certs/localhost.crt
< SSLCertificateFile /etc/pki/tls/certs/ドメイン名.crt
---
> SSLCertificateFile /etc/pki/tls/certs/localhost.crt
120,121c119
< #SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
< SSLCertificateKeyFile /etc/pki/tls/private/ドメイン名.key
---
> SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
130,131c128
< #SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt
< SSLCertificateChainFile /etc/pki/tls/certs/ドメイン名-chain.crt

証明書の中身を確認する。

openssl x509 -noout -text -in /etc/pki/tls/certs/ドメイン名.cst

MacPorts

cd /opt/local/apache2/conf
sudo openssl genrsa -des3 -out localhost.key 1024
sudo openssl rsa -in localhost.key -out localhost-nopass.key
sudo openssl req -new -key localhost-nopass.key -out localhost.csr 
sudo openssl x509 -req -in localhost.csr -signkey localhost-nopass.key -out localhost.crt

conf/httpd-ssl.confに追加。

NameVirtualHost *:443

次ハマったらTATOOしかない。

関連:もう二度とハマらない、SSL個人認証局の設定 - p0t

Comments


Option