SSLの申請から設定まで

SSLの申請から設定まで
20120116

確認環境
　CentOS6.x
　Rapid SSL

概要
　今では年額1000円前後でありながら、10分程度でSSLが手に入る時代になりました。
　自己署名証明書ではメーラー起動時に警告が出てうっとうしいとの事で、価格の安いRapid SSLを導入します。

～申請までの作業～ ◆まずは鍵保存ディレクトリを作成
　[root@Server ~]# mkdir key

◆作業ディレクトリに移動
　[root@Server ~]# cd key/

◆鍵保存ディレクトリ作成その2
　[root@Server key]# mkdir ssl ssl/crt ssl/csr ssl/key

◆秘密鍵を作成します。
　[root@Server key]# openssl genrsa -aes256 -out ssl/key/ry.tl.key 4096
Enter pass phrase for ry.tl.key: pasuwa-do(表示されません)
Verifying - Enter pass phrase for ry.tl.key: pasuwa-do(表示されません)

◆パスワードを除去していきます（任意）
　[root@Server key]# mv ssl/key/ry.tl.key ssl/key/ry.tl.key.passwd
→バックアップを念のため作成

　[root@Server key]# openssl rsa -in ssl/key/ry.tl.key.passwd -out ssl/key/ry.tl.key
→パスワード除去

◆提出用のCSR情報を作成します。
　[root@Server key]# openssl req -new -key ssl/key/ry.tl.key -out ssl/csr/ry.tl.csr
Country Name (2 letter code) [AU]:JP
→国コード

State or Province Name (full name) [Some-State]:Osaka
→都道府県

Locality Name (eg, city) [ ]:ry
→市区町村　この辺りから適当に

Organization Name (eg, company) [Internet Widgits Pty Ltd]:
→組織名　入力しなくてもいいです。

Organizational Unit Name (eg, section) [ ]:
→部署名　入力しなくてもいいです。

Common Name (eg, your name or your server's hostname) [ ]:ry.tl
→サーバー名　Wildcard証明書はサブドメインに「*」

Email Address [ ]:
→管理者メールアドレス　入力しなくてもいいです。

Please enter the following 'extra' attributes to be sent with your certificate request A challenge password [ ]:
→不明　入力しなくてもいいです。

An optional company name [ ]:
→不明　入力しなくてもいいです。

◆作成したCSR情報を確認
　[root@Server key]# cat ssl/csr/ry.tl.csr
-----BEGIN CERTIFICATE REQUEST-----
中身
-----END CERTIFICATE REQUEST-----

→以上の情報を申請時に提出します。

～サーバー証明書が届いてからの処理～ ◆まずはサーバー証明書を作成します。
　[root@Server key]# vi ssl/crt/ry.tl.crt
-----BEGIN CERTIFICATE-----
メールなりで送られてきた物をコピペ
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
一行空けて中間証明書をコピペ（無ければ省略）
-----END CERTIFICATE-----

◆ファイルの権限を変更しておきます。
　[root@Server key]# chmod -R 400 /root/key

◆各種サーバー用設定（サーバー証明書及び秘密鍵ファイルの指定先のみメモ）

Apache
　[root@Server key]# vi /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /root/key/ssl/crt/ry.tl.crt
SSLCertificateKeyFile /root/key/ssl/key/ry.tl.key

Postfix
　[root@Server key]# vi /etc/postfix/main.cf
smtpd_tls_cert_file = /root/key/ssl/crt/ry.tl.crt
smtpd_tls_key_file = /root/key/ssl/key/ry.tl.key

Dovecot
　[root@Server key]# vi /etc/dovecot/conf.d/10-ssl.conf
ssl_cert = </root/key/ssl/crt/ry.tl.crt
ssl_key = </root/key/ssl/key/ry.tl.key