5.2.8　ハッシュリンクの作成（UNIX版）（openssl.sh x509コマンド）

証明書の妥当性チェックのために，証明書を発行したCAの証明書をSSLCACertificateFileディレクティブまたはSSLCACertificatePathディレクティブで指定します。SSLCACertificatePathディレクティブには，証明書発行元のCAの証明書をポイントするハッシュ値を使用したシンボリックリンク（ハッシュリンク）を格納したディレクトリを指定します。ハッシュ値はopenssl.sh x509コマンドで作成します。

SSLCACertificatePathディレクティブを指定すると，Webサーバでの証明書の検索はハッシュ値を用いて効率良く実行できます。したがって，CAの証明書が多い場合は，SSLCACertificateFileディレクティブよりもSSLCACertificatePathディレクティブを推奨します。なお，ハッシュ値は一つの証明書に一つである必要があるので，ハッシュリンク作成時には，複数の証明書が混在したファイルは指定できません。

SSLCACertificatePathディレクティブで指定するハッシュリンクディレクトリ内のシンボリックリンク生成時には，ハッシュ値に.0を付ける必要があります。また，SSLCACertificatePathディレクティブで指定するディレクトリは，User，Groupディレクティブで指定したユーザでアクセスできるように，ディレクトリに読み込み権限，実行権限を設定してください。

〈この項の構成〉

• (1)　形式

• (2)　オペランド

• (3)　使用例

openssl.sh x509 -noout -hash -in CAの証明書ファイル

cd /opt/hitachi/httpsd/conf/ssl/cacerts
ln -s /opt/hitachi/httpsd/conf/ssl/cacert/cacert.pem `
openssl.sh x509 -noout -hash  -in /opt/hitachi/httpsd/conf/ssl/cacert/cacert.pem`.0