■環境
サーバー:Apache + mod_ssl
初めてSSLサーバー証明をインストールします。
色んなサイトを見て勉強しながらやっているのですが、
どうしても腑に落ちないというか、どうもすっきりしない点がありましたので、
お知恵をお借りしたく、質問させて頂きました。
気になる部分はCSRを生成するコマンド、以下となります。
# mkdir /usr/local/certs
# cd /usr/local/certs
# openssl req -new -newkey rsa:2048 -nodes -keyout 「名前」.key -out 「名前」.csr
Generating a 2048 bit RSA private key
参考にしたサイト
http://www.digicert.ne.jp/howto/csr/csr_apache.html
http://cspssl.jp/support/csr_apache.html
上のコマンドだと、PEMフレーズを入力せずに、2ファイルが生成されます。
しかしながら、その他の様々なサイトでは
先にパスフレーズを登録して、例えば、、
# openssl req -new -key 「名前」.key -out 「名前」.csr
Enter pass phrase for server.key:
このようなコマンドに続いてパスフレーズを聞かれるという形になっています。
また各種サイトには、PEMフレーズは省略も出来るとあります。
セキュリティ度は下がるが、再起動時に何度も入力しなくて済むという利便性があるとか。
もしかすると前者では、PEMフレーズが省略されたCSRを生成しているのかと
考えたのですが、私の考えで合っているのでしょうか。
それとも、前者のCSRで認証局に申請した物は、作り直さなくてはならないでしょうか。
素人質問で大変申し訳ないと思いますが、
ちょっと頭が混乱してしまってまして
どなたかヒントを頂ければありがたいです。
すいませんがよろしくお願いします。
投稿日時 - 2011-10-04 18:17:53
> もしかすると前者では、PEMフレーズが省略されたCSRを生成しているのかと
> 考えたのですが、私の考えで合っているのでしょうか。
はい。あっています。 -nodes オプションで作成しているので作成したキーは暗号化されていません。
-nodes で作成したキーを暗号化するのであれば
openssl rsa -in 「名前」.key -des3 -out 「名前」.key_with_pass
とすればよいです。
投稿日時 - 2011-10-04 20:55:28
お礼
ご回答頂きありがとうございます。
自分がつかえていた部分がすっきり致しました。
コマンドのオプションをググってみたのですが、
なぜか私には-nodesについての解説が見つけられませんでした。
そんな意味がある処理なんですね。
また、暗号化のコマンドまでありがとうございます。
大変勉強になりました。ありがとうございます。
投稿日時 - 2011-10-05 00:55:39
0人が「このQ&Aが役に立った」と投票しています
ベストアンサー以外の回答(2件中 1~2件目)
PEMフレーズが適用されるのは秘密鍵(「名前」.key)だけです。
CSR(「名前」.csr)には関係ありません。
CSRを暗号化したら認証局側で証明書が作れなくなります。
ちなみにレンタルサーバーを利用するならPEMフレーズなんて付けたらダメです。
Webサーバーの設定変更や再起動のたびに、管理会社にパスワードを教えて入力してもらわなくちゃ立ち上がらなくなります。
ヘタをするとパスワード入力待ちのまま何日も気づかない場合があります。
投稿日時 - 2011-10-04 22:25:02
お礼
ご回答ありがとうございます。
今回VPSのレンタルサーバーとなりますので参考になります。
もしかすると大丈夫な仕様になってるのかどうかは分かりませんが、
下手に自分がいじって、再起動時に他の共有者に影響出たらまずいので、
気をつけたいと思います。
勉強になりましたありがとうございます。
投稿日時 - 2011-10-05 00:50:51
証明書の発行依頼する認証局の事例を参考にしてみては?
ベリサインの例
https://www.verisign.co.jp/ssl/help/csr/capache_new.html
参考URL:https://www.verisign.co.jp/ssl/help/csr/capache_new.html
投稿日時 - 2011-10-04 18:27:05
補足
早速のご投稿ありがとうございました。
全く仰るとおりなのですが、
既に認証局にCSRを申請してしまったので(完全に私が悪いのですが)、
前者で作ったもので良ければ、そのまま利用したいのです。
使える可能性が全く無いのであれば、
諦めてもう1ライセンス注文するしかないのかな。。ぁぁ。
投稿日時 - 2011-10-04 19:43:51
お礼
真っ先のご回答ありがとうございました。
認証局の解説をまず読むべきでした、
今後の参考にしたいと思います。
本当にありがとうございました。
投稿日時 - 2011-10-05 00:57:15
OKWaveのオススメ
おすすめリンク
