SSLデータ

ディストロ独自エラーへの対応(RHL9)

 /usr/include/openssl/kssl.h:72:18: krb5.h: No such file or directory
 In file included from /usr/include/openssl/ssl.h:179,
 (以下略)

Includeされるファイルパスの中に、/usr/kerberos/include/が含まれていないのが原因。シンボリックリンクはって対処。

 # ln -s /usr/kerberos/include/krb5.h /usr/include/krb5.h
 # ln -s /usr/kerberos/include/profile.h /usr/include/profile.h
 # ln -s /usr/kerberos/include/com_err.h /usr/include/com_err.h
 # make

for SSL

Program & Modules

Know How

SSL Site.

具体的な作り方(Apache2.0.47)

 # openssl genrsa -des3 -rand /var/log/messages -out 鯖.pem 1024

ローカルCSRを作る

# openssl req -new -key 鯖.pem -out 鯖.csr

ここで選択問題。

自己認証でOK。

# openssl x509 -req -in 鯖.csr -signkey 鯖.pem -out 鯖.crt

→ いや、警告出ないようにせにゃアレです。

外部機関(いろいろあります)に署名して貰います。

> 鯖.crtを貰う。

具体的な作り方(Apache1.3.29)

 ./configure --prefix=Apacheのインストール先 \
        --with-layout=Apache \
        --with-apache=Apacheを展開したところ \
        --with-ssl=OpenSSLを展開してところ \
        --with-perl=/usr/bin/perl
ここで鍵生成に自動的に入る。
いくつか質問される。パスフレーズ等入れる。CN(CommonName) や社名はクライアントに出るので、たとえ偽の証明書でもきちんと設定したほうがよい。
パスフレーズを聞かれるので答える。:: OKならstartedとなる。
CSRのありか
インストールしたディレクトリ/conf/ssl.csr/server.csr
貰った証明書のインストール先
インストールしたディレクトリ/conf/ssl.crt/server.crt

Apacheを再起動

# インストールしたディレクトリ/bin/apachectl stop # インストールしたディレクトリ/bin/apachectl startssl

:パスフレーズを聞かれる。:上で答えた奴を撃ち込む。→スタート

マシン起動時にフレーズを尋かれないように。

インストールしたディレクトリ/conf/httpd.conf を設定

 (編集前)
 SSLPassPhraseDialog  builtin
 (編集後)
 SSLPassPhraseDialog  exec:インストールしたディレクトリ/conf/sec.sh

 (sec.shの中身:chmod 100で設定しておく)
 #!/bin/sh
 echo "パスフレーズ"

Triton Inc SSLのインストール($2,500証明書)

上と同様の手順を踏めばいいが、証明書を貰う時に上位サーバ証明書も貰う事になる。これのインストール方法は英文の説明ページがあるが、以下のようにする。

★ComodoSecurityServicesCA.crtを、ca.txtという名前でコピー。
★/etc/httpd/conf/httpd.confに以下を設定。

SSLCACertificateFile /etc/httpd/conf/ca.txt

— Apacheを再起動する。