IT pass HikiWiki - [Memo2010][ITPASS] apache2 の設定のやり直しログ Diff

  • Added parts are displayed like this.
  • Deleted parts are displayed like this.

10/11/15 に apache2 の設定のやり直しを佐伯が行った.

{{toc_here}}

[((<ITPASSサーバ構築ドキュメント>)) へ戻る]

== SSL 用の証明書の作成

=== プライベート CA の作成

以下の作業は ServerName : itpass.scitec.kobe-u.ac.jp, epa.scitec.kobe-u.ac.jp, aoe.scitec.kobe-u.ac.jp
のそれぞれについて行った.

  # /usr/lib/ssl/misc/CA.pl -newca
  CA certificate filename (or enter to create)
  (空で Enter)

  Enter PEM pass phrase: (適当な文字列入力)

  Country Name (2 letter code) [AU]: JP
  State or Province Name (full name) [Some-State]: Hyogo
  Locality Name (eg, city) []: Kobe
  Organization Name (eg, company) [Internet Widgits Pty Ltd]: Private_CA
  Organizational Unit Name (eg, section) []: Private_CA
  Common Name (eg, YOUR name) : Private_CA
  Email Address: itpadmin_at_itpass.scitec.kobe-u.ac.jp
  A challenge password: (空で Enter)
  A optional company name: (空で Enter)

  Enter pass phrase for ./demoCA/private/./cakey.pem: (先と同じパスフレーズ)

この作業で以下のようなディレクトリ構造になったことを確認した.

/usr/local/apache2/conf/ca
                         |
                         └ demoCA [ 各種証明書等のルートディレクトリ ]
                            |
                            ├ certs [ 証明書等のディレクトリ(バックアップに利用) ]
                            |
                            ├ crl [ 破棄証明書一覧用のディレクトリ ]
                            |
                            ├ newcerts [ クライアント証明書(sireal追番)のディレクトリ ]
                            |  |
                            |  ├ xxxxx..pem [ クライアント証明書 ]
                            |  |    :
                            |  └ xxxxx..pem [ クライアント証明書 ]
                            |
                            ├ private [ CA用の秘密鍵用ディレクトリ ]
                            |  |
                            |  └ cakey.pem [ CA用の秘密鍵 ]
                            |
                            ├ cacert.pem [ CA用の証明書 ]
                            ├ index.txt     [ クライアント証明書用DB ]
                            └ serial [ クライアント証明書用シリアル ]

以下で, サーバ用 CA 証明書の作成

# openssl x509 -in ./demoCA/cacert.pem -out ./demoCA/cacert.crt

ブラウザに登録されるバイナリ DER フォーマットで記述されたファイルの作成.

# openssl x509 -inform pem -in ./demoCA/cacert.pem -outform der -out ./demoCA/ca.der

サーバ用秘密鍵の作成

# /usr/lib/ssl/misc/CA.pl -newreq-nodes

  Country Name (2 letter code) [AU]: JP
  State or Province Name (full name) [Some-State]: Hyogo
  Locality Name (eg, city) []: Kobe
  Organization Name (eg, company) [Internet Widgits Pty Ltd]: Kobe University
  Organizational Unit Name (eg, section) []: ITPASS (他に "EPA lab.", "AOE lab." として登録)
  Common Name (eg, YOUR name) : itpass.scitec.kobe-u.ac.jp (ここは itpass の他に, epa, aoe の分をそれぞれ作成した)
  Email Address: itpadmin_at_itpass.scitec.kobe-u.ac.jp
  A challenge password: (空で Enter)
  A optional company name: (空で Enter)

サーバ用証明書の作成

# /usr/lib/ssl/misc/CA.pl -sign
...
Enter pass phrase for ./demoCA/private/cakey.pem: (さきほどのパスフレーズを入力)
...
Sign the certificate? [y/n]: y[Enter]
1 out of 1 certificate requests certified, commit? [y/n] y[Enter]

サーバ証明書を crt ファイルに書き出した.

# openssl x509 -in newcert.pem -out server.crt

これらの作業により, demoCA 以下に ca.der が, カレントディレクトリに server.crt, newkey.pem が作成された.
これらのファイルを証明書を格納するために作成した ca ディレクトリ以下に格納した.

  # mv server.crt itpass(この名称は適宜読み替え)/
  # mv newkey.pem itpass(この名称は適宜読み替え)/server.key
  # mv demoCA/ca.der itpass(この名称は適宜読み替え)/

最後に demoCA ディレクトリ以下を削除した.

  # rm -r demoCA/

これで鍵の作成は完了した. ここまでを itpass, epa, aoe のそれぞれについて計 3 回行った.