SSLデータ

ディストロ独自エラーへの対応(RHL9)

• http://blog.unknown.jp/mt/archives/000087.html より転載。
• 現在の所、Redhat Linux9 + Apache1.3.x + mod_sslにおいて、make時に「Includeされるファイルが見つからない」エラーが表示される。

 /usr/include/openssl/kssl.h:72:18: krb5.h: No such file or directory
 In file included from /usr/include/openssl/ssl.h:179,
 (以下略)

Includeされるファイルパスの中に、/usr/kerberos/include/が含まれていないのが原因。シンボリックリンクはって対処。

 # ln -s /usr/kerberos/include/krb5.h /usr/include/krb5.h
 # ln -s /usr/kerberos/include/profile.h /usr/include/profile.h
 # ln -s /usr/kerberos/include/com_err.h /usr/include/com_err.h
 # make

for SSL

Program & Modules

• http://www.modssl.org/
• http://www.openssl.org/source/
• http://www.apache.org/

Know How

• http://solaris.ddo.jp/apache-ssl.html
• http://city.hokkai.or.jp/~hachikun/tips/linux/ca.html

SSL Site.

• http://www.entrust.com/freecerts/ (SECOMのお試しサイト)
• TRITON Inc

具体的な作り方(Apache2.0.47)

• Apacheをtar玉から作るなら、 # ./configure —enable-so —enable-ssl が参考となろう。 — (注意: opensslが古いとmod_sslのコンパイルで引っかかる)
• 鍵製造

 # openssl genrsa -des3 -rand /var/log/messages -out 鯖.pem 1024

ローカルCSRを作る

# openssl req -new -key 鯖.pem -out 鯖.csr

ここで選択問題。

自己認証でOK。

# openssl x509 -req -in 鯖.csr -signkey 鯖.pem -out 鯖.crt

→ いや、警告出ないようにせにゃアレです。

外部機関(いろいろあります)に署名して貰います。

> 鯖.crtを貰う。

具体的な作り方(Apache1.3.29)

• cd 落としたディレクトリ
• openssl,mod_ssl,Apacheを展開
• cd mod_sslのディレクトリ
• 以下を実行。

 ./configure --prefix=Apacheのインストール先 \
        --with-layout=Apache \
        --with-apache=Apacheを展開したところ \
        --with-ssl=OpenSSLを展開してところ \
        --with-perl=/usr/bin/perl

• cd Apacheを展開したところ
• make
• make certificate

ここで鍵生成に自動的に入る。

いくつか質問される。パスフレーズ等入れる。CN(CommonName) や社名はクライアントに出るので、たとえ偽の証明書でもきちんと設定したほうがよい。

• make install
• Apacheのインストール先/bin/apachectl startssl

パスフレーズを聞かれるので答える。:: OKならstartedとなる。

• ブラウザで確認。 認証元がデフォルト名(Snake Oilか何か)になっているはずだ。
• SECOMやVerisignに証明書を貰う。 — VerisignはBEGIN文字列がApacheそのままだとエラーになる。JavaScriptでハネてるだけなのでページソースを見よ。 — SECOMのやつはKonqueror(3.1.4)だとフォームの動作が変。Operaだとexeファイルが落ちてきた(CGIのバグらしい。メールで通報してあるので今は大丈夫かもしれない)。IEはおそらくOK、MozillaかFirefoxもおすすめである。

CSRのありか

インストールしたディレクトリ/conf/ssl.csr/server.csr

貰った証明書のインストール先

インストールしたディレクトリ/conf/ssl.crt/server.crt

Apacheを再起動

# インストールしたディレクトリ/bin/apachectl stop # インストールしたディレクトリ/bin/apachectl startssl

:パスフレーズを聞かれる。:上で答えた奴を撃ち込む。→スタート

マシン起動時にフレーズを尋かれないように。

インストールしたディレクトリ/conf/httpd.conf を設定

 (編集前)
 SSLPassPhraseDialog  builtin
 (編集後)
 SSLPassPhraseDialog  exec:インストールしたディレクトリ/conf/sec.sh

 (sec.shの中身:chmod 100で設定しておく)
 #!/bin/sh
 echo "パスフレーズ"

Triton Inc SSLのインストール($2,500証明書)

上と同様の手順を踏めばいいが、証明書を貰う時に上位サーバ証明書も貰う事になる。これのインストール方法は英文の説明ページがあるが、以下のようにする。

• /etc/httpd/conf(インストール環境によりPATHは異なる)に以下を。

★ComodoSecurityServicesCA.crtを、ca.txtという名前でコピー。
★/etc/httpd/conf/httpd.confに以下を設定。

SSLCACertificateFile /etc/httpd/conf/ca.txt

— Apacheを再起動する。