▼ SSLでオレオレ証明書発行
2009/01/05 23:58 【環境】
仕事場からいろいろblogに悪さ書きする場合、気になるのはサイトバレ。
いまどきはどこの事業所も外のサイトに接続する場合はログをとっている。いろいろあるからね。
ログとられることに別に不満はないけど、書いている内容がばれちゃうのはちょっと嫌。
てことで、通信経路の暗号化を実施。
Apache+SSL環境を構築しよう(ThinkIT)を参考に
インストールはyumが動くので簡単
まず秘密鍵のバックアップを作成。
関連キーワード:yum,ssl
いまどきはどこの事業所も外のサイトに接続する場合はログをとっている。いろいろあるからね。
ログとられることに別に不満はないけど、書いている内容がばれちゃうのはちょっと嫌。
てことで、通信経路の暗号化を実施。
Apache+SSL環境を構築しよう(ThinkIT)を参考に
インストールはyumが動くので簡単
$ yum -y install mod_sslopensslが動いているかどうか確認。バージョンの出力があればOK
$ openssl version秘密鍵の作成場所へ移動。httpdのconfigへ作る。
$ cd /etc/httpd/conf/秘密鍵作成。genrsa RSA形式の秘密鍵作成 des3方式で暗号化 1024bバイトで生成。パスフレーズを求められる。
$ openssl genrsa -des3 1024 > server.keyreg CSRファイルの作成 -new 新規で -key キーファイル
$ openssl req -new -key server.key > server.csrX.509形式のデジタル証明書の作成 -in CSRファイルを指定 -days 365日有効 -reg 入力ファイルはCSR -signkey 秘密鍵を指定
$ openssl x509 -in server.csr -days 365 -req -signkey server.key > server.crt以下は、httpdの再起動ごとにパスフレーズの入力を求められないようにするための処置。
まず秘密鍵のバックアップを作成。
$ cp -p server.key server.key.bkup以下のコマンドで、秘密鍵のパスフレーズを解除。
$ openssl rsa -in server.key.bkup > server.keyで、httpdを再起動する。
$ service httpd restartiptablesのhttpsをあけておくと吉。
$ iptables -L で確認 ・ ・ ACCEPT tcp -- anywhere anywhere tcp spt:pcsync-https ←こんな行があればOK ・ ・https://snjx.info/でアクセスすると認証でエラーが出るけど、そこんとこはなんせオレオレ証明書だし、まぁ、それはそれなりに対処します。
関連キーワード:yum,ssl
- TB-URL http://snjx.info/diary/snjx/07/tb/