3.11.1 通信サーバのSSL通信用証明書を取得する流れ
通信サーバのSSL通信用証明書(SSL通信用ルート証明書およびSSL通信用サーバ証明書)は、証明書発行機関から取得します。
通信サーバのSSL通信用証明書を取得するまでの流れを次に示します。
-
Webサーバの秘密鍵を作成する(keygenコマンド)
作成したWebサーバの秘密鍵のファイルは、SSLCertificateKeyFileディレクティブに指定します。
-
証明書発行要求(CSR)を作成する(certutil reqgenコマンド)
-
証明書発行要求(CSR)の内容を表示する(certutil reqコマンド)
必要に応じて証明書発行要求(CSR)の内容を確認します。
-
証明書発行要求(CSR)を認証局(CA)に提出する
-
認証局(CA)から署名済みの証明書を取得する
-
取得したクライアント証明書とクライアント秘密鍵のペアをPKCS#12で作成する
作成方法を次に示します。
openssl pkcs12 -export -inkey httpsdkey.pem -in クライアント証明書.pem -out user.p12 -certfile ルート証明書.pem
- ポイント
-
取得した証明書の内容はcertutil certコマンドで確認できます。
- ポイント
-
取得した証明書の"-----BEGINCERTIFICATE-----"から、"-----END CERTIFICATE----"の部分を別ファイルに保存します(標準提供のhttpsd.confではhttpsd.pem)。このファイルをSSLCertificateFileディレクティブに定義することで、SSLが利用できるようになります。
関連項目