SSLサーバ証明書のインストールについて
LightTPD + OpenSSL 新規・更新
弊社では以下手順にて動作検証をおこなっておりますが、LightTPDの動作を保証するものではございませんので、参考情報としてご覧ください。アプリケーションの詳細については付属のドキュメントや関連書籍等でご確認ください。ください。
LightTPDはオープンソースのアプリケーションです。脆弱性などの問題がないか、随時情報を確認いただき、万一問題が発見された場合は、該当サービスの停止や、対応パッチがリリースされている場合は速やかに適用するなど、運用には十分ご注意ください。
本例では以下環境を前提としています。お客様の環境に合わせて任意に読み替えてご覧ください。
コモンネーム | ssl.alphassl.com |
---|---|
confディレクトリまでのパス | /etc/lighttpd/ |
証明書の保存ディレクトリ | /etc/lighttpd/ |
サーバ証明書ファイル名 | ssl.alphassl.com.crt |
pemファイル名 | ssl.alphassl.com.pem |
中間証明書ファイル名 | dvcacert.cer |
- 1証明書は管理者様宛てにメールでお送りしています。「◆証明書」をコピーしてサーバに保存してください。
- 保存先の例
/etc/lighttpd/ssl.alphassl.com.crt
- 2中間証明書をサーバに保存します。
- ※ 中間証明書は管理者様宛てにメールでお送りしています。「◆中間CA証明書」のデータ(-----BEGIN CERTIFICATE----- から -----END CERTIFICATE----- まで)をコピーしてサーバに保存します。
/etc/lighttpd/dvcacert.cer - 中間証明書のダウンロード
- 3秘密鍵・証明書を結合し、pemファイルを作成します。
- # cat ssl.toritonssl.com.key ssl.toritonssl.com.crt > ssl.alphassl.pem
- 4設定ファイルlighttpd.confにSSLの設定を行います。
- #### SSL engine
ssl.engine = "enable"
ssl.pemfile = "/etc/lighttpd/ssl.globalsign.com.pem"
ssl.ca-file = "/etc/lighttpd/dvcacert.cer" - ※太字表記の部分は記載例ですので、お客様の環境によって読み替えてください。
- 5LightTPDのデーモンを再起動し、変更した設定を反映させます。
- 毎回、起動の際に秘密鍵のパスフレーズの入力が必要になります
- # service lighttpd stop
# service lighttpd start
- 6SSL/TLS通信に問題がないか確認して下さい。
- https://コモンネーム/
- Internet Explorer は、中間証明書がインストールされていない場合でも、自動的にそれを補完するため、 エラーがでません。正しくインストールされているか確認するには、opensslコマンドが有効です。
SSL/TLS接続時の証明書情報をopensslコマンドで確認したい。 - ※pemファイルはバックアップを取ることをお勧めします。
パスフレーズが設定されている場合は、こちらもお忘れにならないようご注意ください。
パスフレーズを忘れた場合、LightTPDを起動できなくなりますので、新しく秘密鍵、CSRを生成いただき、証明書を再発行する必要があります。 - 再発行のお手続き
補足
※[ ] の部分はお客様の環境に合わせて読み替えてください。
1.秘密鍵の内容を確認
# openssl rsa -text -noout -in /[FilePath]/[KeyFile]
2.秘密鍵のパスフレーズを解除
# cp /[FilePath]/[KeyFile] /[FilePath]/[KeyFile].org (元ファイルのバックアップ)
# openssl rsa -in /[FilePath]/[KeyFile] -out /[FilePath]/[KeyFile]
3.CSRの内容を確認
# openssl req -text -noout -in /[FilePath]/[CSR]
4.証明書の内容を確認
# openssl x509 -text -noout -in /[FilePath]/[CertFile]