[Memo2010][ITPASS] apache2 の設定のやり直しログ

10/11/15 に apache2 の設定のやり直しを佐伯が行った.

[ITPASSサーバ構築ドキュメント へ戻る]

SSL 用の証明書の作成

プライベート CA の作成

以下の作業は ServerName : itpass.scitec.kobe-u.ac.jp, epa.scitec.kobe-u.ac.jp, aoe.scitec.kobe-u.ac.jp のそれぞれについて行った.

# /usr/lib/ssl/misc/CA.pl -newca
CA certificate filename (or enter to create) 
(空で Enter)

Enter PEM pass phrase: (適当な文字列入力)

Country Name (2 letter code) [AU]: JP
State or Province Name (full name) [Some-State]: Hyogo
Locality Name (eg, city) []: Kobe
Organization Name (eg, company) [Internet Widgits Pty Ltd]: Private_CA
Organizational Unit Name (eg, section) []: Private_CA
Common Name (eg, YOUR name) : Private_CA
Email Address: itpadmin_at_itpass.scitec.kobe-u.ac.jp
A challenge password: (空で Enter)
A optional company name: (空で Enter)

Enter pass phrase for ./demoCA/private/./cakey.pem: (先と同じパスフレーズ)

この作業で以下のようなディレクトリ構造になったことを確認した.

/usr/local/apache2/conf/ca
                        |
                        └ demoCA [ 各種証明書等のルートディレクトリ ]
                           |
                           ├ certs [ 証明書等のディレクトリ(バックアップに利用) ]
                           |
                           ├ crl [ 破棄証明書一覧用のディレクトリ ]
                           |
                           ├ newcerts [ クライアント証明書(sireal追番)のディレクトリ ]
                           |  |
                           |  ├ xxxxx..pem [ クライアント証明書 ]
                           |  |    :
                           |  └ xxxxx..pem [ クライアント証明書 ]
                           |
                           ├ private [ CA用の秘密鍵用ディレクトリ ]
                           |  |
                           |  └ cakey.pem [ CA用の秘密鍵 ]
                           |
                           ├ cacert.pem [ CA用の証明書 ]
                           ├ index.txt     [ クライアント証明書用DB ]
                           └ serial [ クライアント証明書用シリアル ]

以下で, サーバ用 CA 証明書の作成

# openssl x509 -in ./demoCA/cacert.pem -out ./demoCA/cacert.crt

ブラウザに登録されるバイナリ DER フォーマットで記述されたファイルの作成.

# openssl x509 -inform pem -in ./demoCA/cacert.pem -outform der -out ./demoCA/ca.der

サーバ用秘密鍵の作成

# /usr/lib/ssl/misc/CA.pl -newreq-nodes

 Country Name (2 letter code) [AU]: JP
 State or Province Name (full name) [Some-State]: Hyogo
 Locality Name (eg, city) []: Kobe
 Organization Name (eg, company) [Internet Widgits Pty Ltd]: Kobe University
 Organizational Unit Name (eg, section) []: ITPASS (他に "EPA lab.", "AOE lab." として登録)
 Common Name (eg, YOUR name) : itpass.scitec.kobe-u.ac.jp (ここは itpass の他に, epa, aoe の分をそれぞれ作成した)
 Email Address: itpadmin_at_itpass.scitec.kobe-u.ac.jp
 A challenge password: (空で Enter)
 A optional company name: (空で Enter)

サーバ用証明書の作成

# /usr/lib/ssl/misc/CA.pl -sign
...
Enter pass phrase for ./demoCA/private/cakey.pem: (さきほどのパスフレーズを入力)
...
Sign the certificate? [y/n]: y[Enter]
1 out of 1 certificate requests certified, commit? [y/n] y[Enter]

サーバ証明書を crt ファイルに書き出した.

# openssl x509 -in newcert.pem -out server.crt

これらの作業により, demoCA 以下に ca.der が, カレントディレクトリに server.crt, newkey.pem が作成された. これらのファイルを証明書を格納するために作成した ca ディレクトリ以下に格納した.

# mv server.crt itpass(この名称は適宜読み替え)/
# mv newkey.pem itpass(この名称は適宜読み替え)/server.key
# mv demoCA/ca.der itpass(この名称は適宜読み替え)/

最後に demoCA ディレクトリ以下を削除した.

# rm -r demoCA/

これで鍵の作成は完了した. ここまでを itpass, epa, aoe のそれぞれについて計 3 回行った.

Last modified:2010/11/19 10:28:24
Keyword(s):
References:[[ITPASS2010]2010年度サーバ構築ログ]