Apache + OpenSSL サーバIDインストール手順 (新規)

Solution ID:    SO23580    Updated:    11/10/2017

Problem

Apache + OpenSSL サーバIDインストール手順 (新規)

Solution

必ずお読みください

  • 本文書の内容によって生じた結果の影響について、弊社では一切の責任を負いかねますこと予めご了承ください。
  • 本文書は基本的な構成を想定しています。お客様のシステム環境や構成、設定状況などにより、手順や画面表示が変わることがあります。アプリケーション及びツールごとの仕様及び設定手順等のご不明な点は、製品のマニュアルをお読みいただくか、開発元にご確認ください。

事前にご確認ください

  • フリーウェアApacheをご利用のお客様は、作業をはじめる前に必ずこちらをお読みください。
  • 以下の手順では、OpenSSLが /usr/local/ssl/bin にインストールされている状態を想定しています。お客様の環境により、パスおよびファイル名が異なることがあります。

Step 1:サーバID と 中間CA証明書 のインストール

  1. 受信したサーバID通知メール本文中にある
    (-----BEGIN CERTIFICATE-----) から (-----END CERTIFICATE-----) までをコピーし、
    テキストエディタに貼り付け、証明書ファイルとして任意のファイル名で保存します。
    例: public.crt

    注意:
    Apache 2.4.8 以降のバージョンでは、サーバ証明書、中間CA証明書およびクロスルート証明書(オプション)を一つの証明書ファイルにまとめて保存します。設定方法については、手順4を参照ください。

  2. 保存した証明書ファイルと、CSR生成時に作成した秘密鍵ファイルの組み合わせが、SSL暗号化通信に利用するキーペアとなります。
    この2つのファイルは、必ず正しい組み合わせのペアで利用します。
    2つのファイルを管理しやすいディレクトリに保存します。

    例:

    証明書ファイル /usr/local/ssl/certs/public.crt
    秘密鍵ファイル /usr/local/ssl/private/private.key
  3. Apache-SSL設定ファイル (初期ファイル名は、httpsd.conf 、 ssl.conf など)をエディタで開き、必要な箇所を編集します。
    以下の箇所に保存した証明書ファイルと秘密鍵ファイルのパス、ファイル名を指定します。
    このとき、必ず正しい組み合わせのペアで指定する必要があります。

    例:

    SSLCertificateFile 証明書ファイルのパスとファイル名を指定します
    例: SSLCertificateFile /usr/local/ssl/certs/public.crt
    SSLCertificateKeyFile 秘密鍵ファイルのパスとファイル名を指定します
    例: SSLCertificateKeyFile /usr/local/ssl/private/private.key
  4. 取得製品ごとに必要な中間CA証明書を入手しインストールします。
    以下より取得した製品名のリンク先を確認のうえ、必ず中間CA証明書をインストールしてください。

    お読みください
    クロスルート設定は非推奨となります。
    詳細は以下のサイトを確認してください。
    クロスルート設定用証明書の設定について、どのような対応が必要でしょうか?
    クロスルート証明書ご提供方法変更のご案内(続報)
     

    1. 中間CA証明書は以下のサイトからダウンロードしてください。

       

      クロスルート証明書の設定が必要な場合は、以下のサイトからダウンロードしてください。

       

    2. (-----BEGIN CERTIFICATE-----) から (-----END CERTIFICATE-----) までをコピーし、そのままテキストエディタに貼り付けます。

      中間CA証明書保存例

       

    3. 貼り付け完了後、中間CA証明書ファイルとして任意のファイル名で保存します。

      例: intermediate.crt

    4. 保存した中間CA証明書ファイルを設定ファイルで指定します。

      SSLCACertificateFile
      (Apache-SSL)
      中間CA証明書ファイルのパスとファイル名を指定
      例: SSLCACertificateFile /usr/local/ssl/certs/intermediate.crt
      SSLCertificateChainFile
      (Apache+mod_SSL)
      中間CA証明書ファイルのパスとファイル名を指定
      例: SSLCertificateChainFile /usr/local/ssl/certs/intermediate.crt


      注意:Apache 2.4.8以降をご利用の方
      Apache 2.4.8 から中間CA証明書を指定するSSLCertificateChainFile ディレクティブが廃止されました。中間CA証明書、およびクロスルート証明書(オプション)はサーバ証明書と一つのファイルにまとめて、SSLCertificateFileディレクティブに指定してください。

  5. Apache-SSL設定ファイルへのサーバID および 中間CA証明書 のインストールに関する編集完了後、Apacheサーバを起動(起動中の場合は一旦停止させ起動)します。

    エラーが表示される場合

    • 「key values mismatch」等のメッセージが表示される場合は、証明書ファイルと、秘密鍵ファイルの組み合わせが正しくありません。正しい組み合わせで設定ファイルに指定してください。
      key values mismatch

    • 「Unable to read server certificate from file ファイル名」 等のメッセージが表示される場合は、指定されたファイルが正しくファイルを保存できていない可能性があります。 ファイル保存時に、不要な文字やスペースが含まれていないか確認してください。

    • 秘密鍵生成時にパスフレーズを設定している場合、起動時にパスフレーズの入力が求められますが、ご利用環境によりパスフレーズが入力できない(入力するためのプロンプトが表示されない)等の理由、Apacheが起動できない事例が報告されています。パスフレーズの削除や自動入力設定がご不明な場合は、改めてパスフレーズを設定しない秘密鍵から作成したCSRを元に証明書の再発行いただくことを検討ください。
      再発行手続きについて

Step 2:秘密鍵ファイルと証明書ファイルのバックアップ

ハードウェア障害などに備え、正しい組み合わせでキーペア(秘密鍵ファイル と 証明書ファイル)をバックアップしておきます。

例:

証明書ファイル /usr/local/ssl/certs/public.crt
秘密鍵ファイル /usr/local/ssl/private/private.key
  • サーバをリプレイスする場合などには、キーペアの各ファイルを新しい環境にインポートすることで移行して利用できます。
  • 秘密鍵を紛失した場合、取得したサーバIDを利用できません。確実にバックアップを取ってください。
  • 既存の秘密鍵、証明書と混同しないよう、ファイル名で見分けるなどして管理してください。
  • 作成時に設定したパスワードを忘れないよう、注意してください。

お客様の秘密鍵について

  • 秘密鍵は、セキュリティ上最も大切な情報です。秘密鍵が漏洩した場合、暗号化の安全性が失われます。
  • 秘密鍵をEメールに添付して送信したり、共有のドライブで保存するなどの行為は絶対にお止めください。
  • 当社がお客様の秘密鍵情報を受け取ることは絶対にありません。
  • 秘密鍵は必ずハードディスク以外のメディアにもバックアップを取り、厳重管理してください。
  • 設定したパスワードを忘れないように十分注意してください。

Disclaimer:

本情報の使用条件は次を参照してください。 利用規約

Find Answers