CentOS7+Apache+Ajax+PHP+PostgreSQLでインタラクティブなページづくり-7
第7日目ですね。
ニックネーム たいちょう です。
今日は、CAに署名してもらう側の、サーバの秘密鍵とCAに署名してもらう為の署名要求証明書を作成します。
サーバ名をlocalhost.comとしてやってみます。
鍵を入れるディレクトリを作成します。
# mkdir /etc/pki/tls/server/
サーバの秘密鍵を作成します。
# openssl genrsa -aes128 -out localhost.key 2048
パスフレーズを適当に入れてください。
次に、CSR(証明書の基になる情報)を作成します。
# openssl req -new -key loalhost.key -sha256 -out localhost.csr
他は自己認証局を作成した時と同様ですが、Common Name をきちんと設定することが重要ですから、ここだけは間違えないでください。
...
Common Name (eg,YOUR name)[]:localhost.com <---サーバのホスト名(FQDN)を指定
...
これで、localhost.key と localhost.csr ができました。
次に、作成した署名要求証明書 localhost.csr をCAに送り署名してもらいます。
ここでは、CAは自分自身ですので、自分で作ったCAで、自分で作った署名要求証明書に署名することになります。
# cd /etc/pki/CA
# openssl ca -in /etc/pki/tls/server/localhost.csr -keyfile \
private/cakey.pem -cert cacert.pem -out /etc/pki/tls/server/localhost20151201cert.pem
では、サーバの設定にかかりましょう。
# vim /etc/httpd/conf.d/ssl.conf
DocumentRoot /var/www/ZendSkeletonApplication-master/public
ServerName localhost.com:443
SSLCertificateFile /etc/pki/tls/server/localhost20151201cert.pem
SSLCertificateKeyFile /etc/pki/tls/server/localhost.key
SSLCACertificateFile /etc/pki/CA/cacert.pem
保存してください。
graceful スタートしておきましょうか。
# apachectl graceful
アクセスしてみます。
https://localhost
なんでも、「信頼できないサイト」と表示されているようです。
これは、認証局の公開鍵をブラウザに読み込ませて、信頼させていないからです。
cacert.pem これは、認証局の証明書なので、公開しても大丈夫です。
ブラウザはfirefoxを使っています。
firefox の、「設定」「詳細」「証明書」「認証局証明書」で、cacert.pem をインポートします。
「信頼性を設定」をクリックして、「この証明書をWebサイトの識別に使用する」「この証明書をメールユーザの識別に使用する」「この証明書をソフトウェア製作者の識別に使用する」
にチェックを入れましょう。
ZendFrameworkのページがちゃんと表示されましたか?
おめでとうございます。でも、サーバにはきちんとした名前をつけてみたいですね。
次回は DNS サーバを立ち上げようかな。
お疲れさまです。第7日目 の終了です。
次回もお楽しみに。
