# 鍵作成時の入力の手間を省く pinzolo@mkt-sys:~$ sudo vim /usr/lib/ssl/misc/CA.sh- DAYS="-days 365" # 1 year - CADAYS="-days 1095" # 3 years + DAYS="-days 3650" # 10 year + CADAYS="-days 7300" # 20 years# 鍵作成時の入力の手間を省く pinzolo@mkt-sys:~$ sudo vim /etc/ssl/openssl.cnf- default_days = 365 # how long to certify for - default_crl_days= 30 # how long before next CRL + default_days = 3650 # how long to certify for + default_crl_days= 7300 # how long before next CRL - countryName_default = AU + countryName_default = JP - stateOrProvinceName_default = Some-State + stateOrProvinceName_default = Kanagawa - 0.organizationName_default = Internet Widgits Pty Ltd + 0.organizationName_default = mkt-sys.jp - basicConstraints = CA:FALSE + basicConstraints = CA:TRUE# 自己認証局(CA)用に複写して編集 pinzolo@mkt-sys:~$ sudo cp /etc/ssl/openssl.cnf /etc/ssl/openssl_server.cnf pinzolo@mkt-sys:~$ sudo vim /etc/ssl/openssl_server.cnf- basicConstraints = CA:TRUE + basicConstraints = CA:FALSE - # nsCertType = server + nsCertType = server# 秘密鍵の作成(このサーバー用にパスワードを考える) pinzolo@mkt-sys:~$ sudo openssl genrsa -des3 -out mkt-sys.key 1024 # 要求証明書(CSR)を作成(本来このCSRを認証局に送って署名してもらう) pinzolo@mkt-sys:~$ sudo openssl req -new -days 3650 -key mkt-sys.key -out csr-mkt-sys.pem # 自分で認証局(CA)を立てて署名するため、CAの構築(CA用のパスワードを考える) pinzolo@mkt-sys:~$ sudo /usr/lib/ssl/misc/CA.sh -newca # CSRに署名をして証明ファイルを作成 pinzolo@mkt-sys:~$ sudo openssl ca -config /etc/ssl/openssl_server.cnf -in csr-mkt-sys.pem -keyfile demoCA/private/cakey.pem -cert demoCA/cacert.pem -out ssl-cert-mkt-sys.pem # エラーが発生した場合 index.txt を空にして再実行 pinzolo@mkt-sys:~$ sudo rm demoCA/index.txt pinzolo@mkt-sys:~$ sudo touch demoCA/index.txt pinzolo@mkt-sys:~$ sudo openssl ca -config /etc/ssl/openssl_server.cnf -in csr-mkt-sys.pem -keyfile demoCA/private/cakey.pem -cert demoCA/cacert.pem -out ssl-cert-mkt-sys.pem # 秘密鍵のパスワードを解除する(サーバー用パスワードを使用) pinzolo@mkt-sys:~$ sudo openssl rsa -in mkt-sys.key -out ssl-cert-mkt-sys.key # permission 変更 pinzolo@mkt-sys:~$ sudo chmod 640 ssl-cert-mkt-sys.* # グループの変更(owner は root のまま) pinzolo@mkt-sys:~$ sudo chgrp ssl-cert ssl-cert-mkt-sys.* # 解除した秘密鍵と証明書を適当なフォルダに格納 pinzolo@mkt-sys:~$ sudo mkdir /etc/apache2/cert pinzolo@mkt-sys:~$ sudo cp ssl-cert-mkt-sys.* /etc/apache2/cert/ pinzolo@mkt-sys:~$ sudo ln -s /etc/apache2/mods-available/ssl.conf /etc/apache2/mods-enabled/ssl.conf pinzolo@mkt-sys:~$ sudo ln -s /etc/apache2/mods-available/ssl.load /etc/apache2/mods-enabled/ssl.load # 鍵ファイル情報を追加 pinzolo@mkt-sys:~$ sudo vim /etc/apache2/sites-available/redmine+ SSLCertificateFile /etc/apache2/cert/ssl-cert-mkt-sys.pem + SSLCertificateKeyFile /etc/apache2/cert/ssl-cert-mkt-sys.key# サービスを再起動 pinzolo@mkt-sys:~$ sudo service apache2 restart # 後始末(最初にワークディレクトリ作れば良かった) pinzolo@mkt-sys:~$ mkdir work/ssl pinzolo@mkt-sys:~$ sudo mv mkt-sys.key work/ssl/ pinzolo@mkt-sys:~$ sudo mv csr-mkt-sys.pem work/ssl/ pinzolo@mkt-sys:~$ sudo mv demoCA/ work/ssl/ pinzolo@mkt-sys:~$ sudo mv ssl-cert-mkt-sys.* work/ssl/
さくら VPS (Ubuntu Server 10.04)設定エントリ一覧
- tail -f pinzo.log: さくらのVPS 2G に Ubuntu Server 10.04 をインストール
- tail -f pinzo.log: Ubuntu Server 10.04 に SSH を設定する
- tail -f pinzo.log: Ubuntu Server 10.04 の ssh ポートを変更する
- tail -f pinzo.log: お名前.comの独自ドメインをさくらVPSに割り当てる
- tail -f pinzo.log: Ubuntu Server 10.04 に iptables の設定を行う
- tail -f pinzo.log: Google Apps (+α) 導入時にやったこと
- tail -f pinzo.log: さくら VPS の Ubuntu Server 10.04 に色々導入 vol.1
- tail -f pinzo.log: さくら VPS の Ubuntu Server 10.04 に Ruby をインストール
- tail -f pinzo.log: さくら VPS の Ubuntu Server 10.04 にて PostgreSQL の設定
- tail -f pinzo.log: さくら VPS の Ubuntu Server 10.04 に Redmine を導入
- tail -f pinzo.log: さくら VPS の Ubuntu Server 10.04 に git サーバーを構築
0 件のコメント :
コメントを投稿