ClownWiki

ユーザ用ツール

サイト用ツール

トレース: ssh gitbucket sharding version tips sample_cakephp_model_1 log_tips addpartition tips install
centos:ssl_self_certificate

差分

このページの2つのバージョン間の差分を表示します。

この比較画面へのリンク

次のリビジョン		前のリビジョン
centos:ssl_self_certificate [2014/04/15 02:24] – 作成 clownclowncentos:ssl_self_certificate [2025/02/16 13:53] (現在) – 外部編集 127.0.0.1
行 3: 行 3:
 ===== 自己証明書を作成する ===== ===== 自己証明書を作成する =====
  
-RSA形式の秘密鍵を作成する+==== 秘密鍵 ==== 
 +発行される証明書と対になるファイル。 
 + 
 +e.g. パスフレーズ無し、鍵長2,048bitの秘密鍵「server.key」を作成する
 <code> <code>
-[root@adm01 ~]# openssl genrsa 2048 > server.key+[root@adm01 ~]# openssl genrsa -out server.key 2048
 Generating RSA private key, 2048 bit long modulus Generating RSA private key, 2048 bit long modulus
 ........................+++ ........................+++
 ...+++ ...+++
 e is 65537 (0x10001) e is 65537 (0x10001)
 +[root@adm01 ~]# ll
 +-rw-r--r--. 1 root root  1675 11月  4 18:05 2014 server.key
 +[root@adm01 ~]# cat server.key
 +-----BEGIN RSA PRIVATE KEY-----
 +~省略~
 +-----END RSA PRIVATE KEY-----
 </code> </code>
  
-CSRファイルを作成する+==== CSR ==== 
 +証明書の申請時に提出するファイル。 
 + 
 +e.g. 作成した秘密鍵「server.key」で、CSR「server.csr」を作成する
 <code> <code>
-[root@adm01 ~]# openssl req -new -key server.key > server.csr+[root@adm01 ~]# openssl req -new -key server.key -out aserver.csr
 You are about to be asked to enter information that will be incorporated You are about to be asked to enter information that will be incorporated
 into your certificate request. into your certificate request.
行 25: 行 37:
 State or Province Name (full name) []:Osaka State or Province Name (full name) []:Osaka
 Locality Name (eg, city) [Default City]:Osaka-shi,Cyuoh-ku Locality Name (eg, city) [Default City]:Osaka-shi,Cyuoh-ku
-Organization Name (eg, company) [Default Company Ltd]:Yamada Inc. +Organization Name (eg, company) [Default Company Ltd]:Clown Inc. 
-Organizational Unit Name (eg, section) []:Yamada Section +Organizational Unit Name (eg, section) []:Clown Section 
-Common Name (eg, your name or your server's hostname) []:yamada.com+Common Name (eg, your name or your server's hostname) []:clown.com
 Email Address []: Email Address []:
  
行 34: 行 46:
 A challenge password []: A challenge password []:
 An optional company name []: An optional company name []:
 +[root@adm01 ~]# ll
 +-rw-r--r--. 1 root root  1029 11月  4 18:08 2014 server.csr
 +-rw-r--r--. 1 root root  1675 11月  4 18:05 2014 server.key
 +[root@adm01 ~]# cat server.csr                                                         
 +-----BEGIN CERTIFICATE REQUEST-----
 +~省略~
 +-----END CERTIFICATE REQUEST-----
 </code> </code>
  
-デジタル証明書(server.crt)の作成+==== 証明書(公開鍵) ==== 
 +いわゆる、SSL証明書。 
 + 
 +e.g. 有効期限10年で、秘密鍵「server.key」とCSR「server.csr」を使用して証明書「server.crt」を作成する 
 <code> <code>
-[root@adm01 ~]# openssl x509 -days 3650 -req -signkey server.key server.csr server.crt+[root@adm01 ~]# openssl x509 -days 3650 -req -signkey server.key -in server.csr -out server.crt
 Signature ok Signature ok
-subject=/C=JP/ST=Osaka/L=Osaka-shi,Cyuoh-ku/O=Yamada Inc./OU=Yamada Section/CN=yamada.com+subject=/C=JP/ST=Osaka/L=Osaka-shi,Cyuoh-ku/O=Clown Inc./OU=Clown Section/CN=clown.com
 Getting Private key Getting Private key
 +[root@adm01 ~]# ll
 +-rw-r--r--. 1 root root  1257 11月  4 18:09 2014 server.crt
 +-rw-r--r--. 1 root root  1029 11月  4 18:08 2014 server.csr
 +-rw-r--r--. 1 root root  1675 11月  4 18:05 2014 server.key
 +[root@adm01 ~]# cat server.crt
 +-----BEGIN CERTIFICATE-----
 +~省略~
 +-----END CERTIFICATE-----
 </code> </code>
 +
 +===== 秘密鍵と証明書を一発で作成する =====
 +※CSRは作成されない。
 +
 +<code>
 +openssl req -nodes -newkey rsa:2048 -keyout /etc/nginx/ssl/nginx.key -new -x509 -sha256 -days 365 -out /etc/nginx/ssl/nginx.crt 
 +</code>
 +    * req\\ CSR作成
 +    * -nodes\\ 秘密鍵を暗号化しない
 +    * -newkey rsa:2048\\ 秘密鍵を作成する
 +    * -keyout filename\\ 秘密鍵
 +    * -new\\ 証明書要求ファイルを作成する
 +    * -x509\\ X.509形式の証明書を作成する
 +    * -sha256\\ SHA-2(256)で作成
 +    * -days n\\ 証明書の有効期限をn日とする
 +    * -out filename\\ 証明書
  
 ===== Apacheで利用する ===== ===== Apacheで利用する =====
行 80: 行 127:
 適当な場所にデジタル証明書、秘密鍵を設置 適当な場所にデジタル証明書、秘密鍵を設置
 <code> <code>
-[root@adm01 ~]# mkdir /etc/nginx/conf/ssl.crt/ +[root@adm01 ~]# mkdir /etc/nginx/conf.d/ssl.crt/ 
-[root@adm01 ~]# mv server.crt /etc/nginx/conf/ssl.crt/ +[root@adm01 ~]# mv server.crt /etc/nginx/conf.d/ssl.crt/ 
-[root@adm01 ~]# mkdir /etc/nginx/conf/ssl.key/ +[root@adm01 ~]# mkdir /etc/nginx/conf.d/ssl.key/ 
-[root@adm01 ~]# mv server.key /etc/nginx/conf/ssl.key/+[root@adm01 ~]# mv server.key /etc/nginx/conf.d/ssl.key/
 [root@adm01 ~]# rm -rf server.csr [root@adm01 ~]# rm -rf server.csr
-[root@adm01 ~]# chmod 700 /etc/nginx/conf/ssl.key +[root@adm01 ~]# chmod 700 /etc/nginx/conf.d/ssl.key 
-[root@adm01 ~]# chmod 400 /etc/nginx/conf/ssl.key/server.key+[root@adm01 ~]# chmod 400 /etc/nginx/conf.d/ssl.key/server.key
 </code> </code>
  
 nginx の SSL設定ファイルを設定 nginx の SSL設定ファイルを設定
 <code> <code>
 +# mv /etc/nginx/conf.d/example_ssl.conf /etc/nginx/conf.d/ssl.conf
 # vi /etc/nginx/conf.d/ssl.conf # vi /etc/nginx/conf.d/ssl.conf
 </code> </code>
行 97: 行 145:
 10~11行目付近、鍵のパスを修正 10~11行目付近、鍵のパスを修正
 <code> <code>
-#    ssl_certificate      cert.pem; +# HTTPS server 
-#    ssl_certificate_key  cert.key; +
-    ssl_certificate      /etc/httpd/conf/ssl.crt/server.crt; +server { 
-    ssl_certificate_key  /etc/httpd/conf/ssl.key/server.key;+    listen       443 ssl; 
 +    server_name  localhost; 
 + 
 +#    ssl_certificate      /etc/nginx/cert.pem; 
 +#    ssl_certificate_key  /etc/nginx/cert.key; 
 +    ssl_certificate      /etc/nginx/conf.d/ssl.crt/server.crt; 
 +    ssl_certificate_key  /etc/nginx/conf.d/ssl.key/server.key; 
 +    ssl_session_cache shared:SSL:1m; 
 +    ssl_session_timeout  5m; 
 + 
 +    ssl_ciphers  HIGH:!aNULL:!MD5; 
 +    ssl_prefer_server_ciphers   on; 
 + 
 +    location / { 
 +        root   /usr/share/nginx/html; 
 +        index  index.html index.htm; 
 +    } 
 +}
 </code> </code>
  
centos/ssl_self_certificate.1397528653.txt.gz · 最終更新: 2025/02/16 13:50 (外部編集)