組み立て人生

自分の生活をブロックの様に組み合わせて、より豊かな暮らしを目指しています。

作成したウェブサイトにラピッドSSLを導入(1)

とりあえず完成した自分の事業用HP(さくらVPSにあるApacheで管理されたウェブ)

しかし、このサイトを訪れた方のブラウザーでは危険なサイトとみなされます。そこで、セキュリティー企業からSSL証明書を発行してもらいます。

私が利用したのは、Gotrustが発行しているラピッドSSL

導入には秘密鍵CSRファイルが必要です。

(1)まず、さくらのサーバーにSSL(サービス)をインストー

(2)yum install mod_ssl 、コマンドラインに入力

(3)ディレクトリを作成、mkdir /etc/httpd/conf/ssl.csr/

(4)そして、ここに移動、cd /etc/httpd/conf/ssl.csr

(5)ここから大事です。秘密鍵を作成、下記をコマンド入力します。

openssl genrsa -des3 -out server.key 2048

RSA des3形式 2048ビットで、server.keyを作成しろという文章みたい。

(6)つぎにこの鍵でCSRファイルを作成、これも重要です。

openssl req -new -key server.key -out server.csr

新しいキーとしてserver.keyを使ってserver.csrCSRを作成してくれという意味。

この作成されたCSRを使い、ラピッドSSLの申し込みをします。

 

ここで、大問題が発生します。

このCSRの内容をジオトラストのHPにコピペする必要が出てきます。

しかし、このCSRを見る方法がわかりませんでした。

コマンドで下記のように書けば、出てくるので、必要箇所をマウスでコピーします。

openssl req -in server.csr -text 

これだけなのですが、ウェブにはあまり載っていません。

(server.csrが開きたいファイルです。)

 これを、ラピッドsslの申し込みページにコピペすると、

変換されて、SSL証明書要求が作られます。

しばらく待つとその証明会社から、証明書を送りましたというメールがきます。

そこで、さくらVPSのウェブへ戻りサーバー設定から、証明書ボタンをおして、ファイルをダウンロードし、先ほどのメールに記載の、自分のサーバー上の場所に、それをアップロードして置きます。

しばらく待つと、証明会社のロボットがこれを見つけ、OKを出し、

その後、さくらVPSのサーバー設定が、さきほどのボタンから、

サーバー証明書というボタンに変わり、それをダウンロードできます。

 つまり二段階認証で手に入れるのです。

また、中間証明書のダウンロード場所も、メールに書いてあり、

そこへ行って、ダウンロードします。

 

さて、

初めに作った秘密鍵sshで、自分のパソコンにダウンロードします。

これと、

サーバー・セキュリティー証明書

中間サーバー証明書

で、SSL設定が可能になります。

 

CSRファイルは一度SSL申し込みに作りますがその後、これは使いません。

しかし、これをもとに証明書が作成されるので、大事なファイルですが、

一度作成して作った証明書は、このCSRに対する証明書なので、

SSL導入に失敗して、再インストールして、再度CSRを作ってはいけません。一度CSRで申込して証明書をもらったら、もう二度と再びCSRは作成してはいけません。

自分の作った秘密鍵さえ大切に持っていたら、再インストールした真新しいサーバーでも、このサーバー証明書は使えます。

 

<まとめ>

秘密鍵を作り、開いてエディターにコピペして、保存し、PCに保存

この秘密鍵からCSRを作成し、申込して、サーバー・セキュリティー証明書を手に入れる。つまり、秘密鍵と証明書はペアになっています。

ジオトラストのラピッドSSL証明には、このほかに中間証明書が必要だが、これは、HPからコピペできる。

 

<あとがき>

ーーーーーーーーーーーーーーーー

導入には秘密鍵CSRファイルが必要です。

(1)まず、さくらのサーバーにSSL(サービス)をインストー

(2)yum install mod_ssl 、コマンドラインに入力

(3)ディレクトリを作成、mkdir /etc/httpd/conf/ssl.csr/

(4)そして、ここに移動、cd /etc/httpd/conf/ssl.csr

(5)ここから大事です。秘密鍵を作成、下記をコマンド入力します。

ーーーーーーーーーーーーーーーーー

このディレクトリ作成は、意味がありません。(この場所は必要がなくなるから)

実は鍵を作る場所は、/etc/httpd/conf/ssl.csr/

ではなく、/etc/piki/tls/private/に、server(自分のサーバー名でもOK).keyという名前で作成が便利です。

理由は、mod_sslで導入したときに作成された、コンフィグファイル、

/etc/httpd/conf.d/ssl.confに、この場所が書いてあるから。ここに鍵を作るべし。

そのほうが、書き間違えるリスクが少ないです。

*最後にこのファイルを書き換える!わけです。(ここ大事)