自己署名のSSLサーバー証明書の作成方法を書きます。
前提条件として OpennSSL は普通に使える環境であるものとします。
通常 SSLサーバー証明書は然るべき認証局(VeriSignとかジオトラストとか)が発行し、それには電子署名が施されており、コモンネーム(運用するFQDN=フルドメイン名)が確かなものであると証明します。
この電子署名を認証局にやってもらわずに自分で OpennSSL の機能で施すことが自己署名です。
自己署名の証明書は信頼性に欠けるとしてブラウザなどのクライアントソフトウェアではエラーや警告メッセージが表示され、フィッシングサイト、怪しいサイトであるような印象を与えます。
しかしながらデータの暗号化という観点だけを見れば認証局が署名したものと全く同等であり、暗号化の観点でセキュリティは劣りません。
ですからデータの暗号化が目的なだけなら自己署名でよい場合もあります。
続きを読む
ワイルドカードSSLサーバー証明書の申請と設置方法を書きます。
(知ってる人には、何を今更な話ですが …)
前提条件として Apache / mod_ssl は普通に使える環境であるものとします。
FQDNのホスト名(サブドメイン名)の部分が何でも使えるSSLサーバー証明書のことです。
例) www.very-cute.net www2.very-cute.net test.very-cute.net demo.very-cute.net shop.very-cute.net hogehoge.very-cute.net arecore.very-cute.net ... など
これの申請方法、設置方法は、ワイルドカードじゃない普通のものとほとんど変わらず、CSRを作るときの1点だけが違います。
SSLサーバー証明書の申請と設置方法を書きます。
前提条件として Apache / mod_ssl は普通に使える環境であるものとします。
# openssl version OpenSSL 1.0.0-fips 29 Mar 2010 などと表示されればOK. インストールされていなければインストール # yum install openssl
Apache の conf のパスに移動して
# cd /etc/httpd/conf/ # mkdir ssl.key # mkdir ssl.csr # mkdir ssl.crt