このページの目次
Debian自宅サーバーでSSL証明書利用の設定
購入したクイックSSLプレミアム証明書をアクティベートする前に、自サーバーの準備をしておかないといけなかったようです。
順番的にはこの作業を先にやっておくべきだったでしょうか…
承認用メールアドレスを作る
ジオトラスト社の承認を受けるメールアドレスは指定されているとのことで
例えば、申請するサイトが「www.example.com」の場合
admin@example.com
administrator@example.com
hostmaster@example.com
webmaster@example.com
postmaster@example.com
admin@www.example.com
administrator@www.example.com
hostmaster@www.example.com
webmaster@www.example.com
postmaster@www.example.com
WHOISに登録されているメールアドレス
のどれかしかダメらしいので、上記のどれかのメールアカウントでメールが受信できるようにする必要あり。。
自サーバーの場合は
- WHOISにGmailを登録していた
- Dovecot+Postfixでメールサーバーの設定をしているので、postmasterとwebmasterのメールアドレスの受信だけは管理者用メールアドレスで受け取れるようになっていた。
とういことで、とくに設定は不要でした。
クイックSSLプレミアムをアクティベートするためのCSR作成
購入したクイックSSLプレミアム証明書をアクティベートするためのCSRを作成します。
CSRとは何ぞや?ということは気にせず、いろいろググって進めます。
OpenSSLインストール
まずはDebianにOpenSSLがインストールされている事が前提です。
aptitude show openssl
自サーバーではいつの間にか(apache2と一緒に?)自動インストールされていました。
備考:
aptitude install openssl
秘密鍵を作成してCSRを生成する
どうやら、自サーバーではapacheでしかopensslが使えない(パスが通ってない)みたいなので、apache内でフォルダを作成して進めます。
cd /etc/apache2/ mkdir ssl cd ssl
openssl md5 * > rand.dat
作成した疑似乱数ファイル(rand.dat)から、秘密鍵を作成します。
トリプルDESを使い、2048bitの秘密鍵(ファイル名:2014key.pem)を作成
openssl genrsa -rand rand.dat -des3 2048 > 2014key.pem
パスフレーズを聞かれるので入力します。
Enter pass phrase: “パスフレーズ入れる”
Verifying – Enter pass phrase: ”もう一度パスフレーズ入れる”
パスフレーズは忘れないようにメモしておきましょう。(今後も使います。)
作成した秘密鍵ファイルからCSRを作る
openssl req -new -key 2014key.pem -out 2014csr.pem
Enter pass phrase for 2014key.pem:
Country Name (2 letter code) [AU]:JP
State or Province Name (full name) [Some-State]:Tokyo
Locality Name (eg, city) []:Setagaya-Ku
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:system
Common Name (e.g. server FQDN or YOUR name) []:www.example.com
Email Address []: A challenge password []: An optional company name []:
これで、/etc/apache2/ssl/のなかに2014csr.pemという名前のファイルができました。
そのファイルを開いて中身をコピペして、アクティベート準備はできました。
セキュリティのため、このフォルダ内のファイルのパーミッションを変更します。
chmod 400 *
←前のページに戻り購入したクイックSSLプレミアムをアクティベートします。
→次のページでは、自宅サーバーでSSLサイトが使える設定をします。