ようこそゲストさん

Super Neurotic Junction

SSLでオレオレ証明書発行

2009/01/05 23:58 環境snjx
仕事場からいろいろblogに悪さ書きする場合、気になるのはサイトバレ。
いまどきはどこの事業所も外のサイトに接続する場合はログをとっている。いろいろあるからね。
ログとられることに別に不満はないけど、書いている内容がばれちゃうのはちょっと嫌。

てことで、通信経路の暗号化を実施。


Apache+SSL環境を構築しよう(ThinkIT)を参考に

インストールはyumが動くので簡単
$ yum -y install mod_ssl
opensslが動いているかどうか確認。バージョンの出力があればOK
$  openssl version
秘密鍵の作成場所へ移動。httpdのconfigへ作る。
$ cd /etc/httpd/conf/
秘密鍵作成。genrsa RSA形式の秘密鍵作成 des3方式で暗号化 1024bバイトで生成。パスフレーズを求められる。
$ openssl genrsa -des3 1024 > server.key
reg CSRファイルの作成 -new 新規で -key キーファイル
$ openssl req -new -key server.key > server.csr
X.509形式のデジタル証明書の作成 -in CSRファイルを指定 -days 365日有効 -reg 入力ファイルはCSR -signkey 秘密鍵を指定
$ openssl x509 -in server.csr -days 365 -req -signkey server.key > server.crt
以下は、httpdの再起動ごとにパスフレーズの入力を求められないようにするための処置。
まず秘密鍵のバックアップを作成。
$ cp -p server.key server.key.bkup
以下のコマンドで、秘密鍵のパスフレーズを解除。
$ openssl rsa -in server.key.bkup > server.key
で、httpdを再起動する。
$ service httpd restart
iptablesのhttpsをあけておくと吉。
$ iptables -L で確認
・
・
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:pcsync-https ←こんな行があればOK
・
・
https://snjx.info/でアクセスすると認証でエラーが出るけど、そこんとこはなんせオレオレ証明書だし、まぁ、それはそれなりに対処します。


関連キーワード:yum,ssl

名前:  非公開コメント   

E-Mail(任意/非公開):
URL(任意):
  • TB-URL  http://snjx.info/diary/adiary.cgi/snjx/07/tb/