Tsukiji Systems

RSS1.0


googleで
サイト内検索
このブログ
を検索!
  help

巻き戻し中。

2012年
8月
1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31


2012-08-28(火) SSL [長年日記]

_ PC 証明書

夜中に申し込むと、4時間ぐらいで発行される。

4年で1,000円弱/年はお安いわ。

csr作成時に2,048ビットにしてみた。

早速Apacheとsendmailに設定。

Apacheの場合、

SSLCertificateFile /home/www/conf/cert/ほげほげ.crt(入手した証明書)
SSLCertificateKeyFile /home/www/conf/cert/ほげほげ.key(パスを取っ払った鍵)
SSLCertificateChainFile /home/www/conf/cert/ほげほげ_CA.crt
(証明書発行時に供給された中間証明書)

_ という感じ。

_ PC 忘れずに

「ln -s ほげほげ_CA.crt `openssl x509 -noout -hash -inform pem -in ほげほげ_CA.crt`.0」

で、リンク作成しておかないと中間証明書は読んでくれない。

オレオレ証明書の時は、自己署名だったので中間証明書の意味が無かったけど、今回は設定することでGeoTrustまでつながる。

あとは、httpsで来たらCNとリクエストが一致するように「daemon5.uekusa-.com.com」にrewiteするようにhttpd.confと.htaccessを変更。

RewriteEngine On
RewriteCond %{HTTPS} on
RewriteCond %{HTTP_HOST} !daemon5.uekusa-com.com
RewriteRule (.*)?$ https://daemon5.uekusa-com.com%{REQUEST_URI} [R=301,L]

_ 強制的にhttpsにしたいページはこんな感じ。

RewriteCond %{HTTPS} off
RewriteRule (.*)?$ https://daemon5.uekusa-com.com%{REQUEST_URI} [R=301,L]
RewriteCond %{HTTPS} on
RewriteCond %{HTTP_HOST} !daemon5.uekusa-com.com
RewriteRule (.*)?$ https://daemon5.uekusa-com.com%{REQUEST_URI} [R=301,L]

_ PC sendmail

こっちは、ベリサインとか、このへん参考に。

Apache同様に中間証明のリンクも作成しておく。

だけど、中間証明は「openssl s_client -connect 鯖のアドレス:465 -CAfile GeoTrustの証明」では検証が失敗する。

どうやら、RapidSSLからメールで送られてきた中間証明じゃなくてRapidSSLとGeoTrustの関係を証明する部分も含んでいる必要があった。

RapidSSLのこのへんの「RapidSSL CA Bundle」を入手。

一応検証おk。

但し、今のところ「verify=OK」になる相手もおらず寂しい感じ。

まだ何か設定が足りないのかも。

sendmail.cfは↓

# CA directory
O CACertPath=/etc/mail/cert
# CA file
O CACertFile=/etc/mail/cert/ほげほげ_CA-RapidSSL.crt
# Server Cert
O ServerCertFile=/etc/mail/cert/ほげほげ.crt
# Server private key
O ServerKeyFile=/etc/mail/cert/ほげほげ.key
# Client Cert
O ClientCertFile=/etc/mail/cert/ほげほげ.crt
# Client private key
O ClientKeyFile=/etc/mail/cert/ほげほげ.key

_ ( ゜Д゜)ネムヒー

そんなこんなで、寝るの忘れていじくり回してた。

眠いわ!w



過去の写真!
綺麗にしたよ(・∀・) i350T2V2(i350am2?) i82576 夏色まつり
アクセスカウンター!
累計:
本日:
昨日:
最近のツッコミ

(´・ω・`)ショボーン