SSLサーバー証明書インストール Apache-SSL + SSLeay
[新規・更新]ベリサイン セキュア・サーバID

(注意)
本マニュアルページは2010年 10月11日以降に発行された証明書が対象です。
2010年 10月11日以降発行分より、ベリサイン社のルート証明書が1024bitから2048bitに移行しました。
これに伴い、証明書の階層構造が3階層から4階層に変更となり、中間CA証明書とクロスルート証明書のインストールが必要となりました。
>>2010年 10月11日より前に発行された証明書の場合はこちらをご参照下さい。

SSLサーバ証明書をApache + SSLeay 環境にインストールする手順を説明します。
新規取得時・更新取得時ともに同じ手順です。

セキュア・サーバID証明書階層構造

■ステップ1 サーバ証明書と中間CA証明書のインストール

  1. サーバ証明書

    受信したサーバ証明書発行完了メールの末尾にある
    「サーバ証明書」のすぐ下の
     (—–BEGIN CERTIFICATE—–) から (—–END CERTIFICATE—–) までをコピーし、
    テキストエディタに貼り付け、サーバ証明書ファイルとして任意のファイル名で保存します。
     例: 2010cert.pem

    [サーバ証明書]
    SSLサーバ証明書サンプル

  2. 中間CA証明書
    中間CA証明書は2個あります。2階層目の中間CA証明書はクロスルート設定用の証明書です。本マニュアルでは便宜上「クロスルート証明書」と呼びます。
    Apacheの場合は、中間CA証明書とクロスルート証明書をひとつのファイルにまとめたApacheバンドルファイルをインストールします。
    以下の中間CA証明書とクロスルート証明書をコピーして1つのファイルに保存して下さい。
    >> 中間CA証明書 (3階層目) Verisign Class 3 Secure Server CA-G3 はこちら
    ※3階層目を上に貼り付けて下さい。

    >> クロスルート証明書(2階層目) Verisign Class3 Public Primary CA-G5 はこちら
    ※2階層目を下に貼り付けて下さい。

    (ご注意)
    3階層目を上に、2階層目を下に貼り付けて1個のファイルとして保存して下さい。
    ファイル名:(例) www_yourdomain_co_jp_apache.crt
    Apacheバンドル

    ウェブサーバがApacheの場合でもPlesk、Cpanelのコントロールパネルを使用してインストールする場合は
    Pleskバンドルファイル(3階層目と2階層目の上下が逆になります)を保存します。
    詳しくは >>Pleskのインストールマニュアルをご参照下さい。

  3. 保存したサーバ証明書ファイルと、保存した中間CA証明書バンドルファイルと、
    CSR生成時に作成した秘密鍵ファイルの3つを管理しやすいディレクトリに保存します。
     例:
    サーバ証明書ファイル /usr/local/ssl/certs/2010cert.pem
    中間CA証明書ファイル /usr/local/ssl/certs/www_yourdomain_co_jp_apache.crt
    秘密鍵ファイル /usr/local/ssl/private/2010key.pem

    お申込み時に「CSR自動発行サービス」を選択した場合は 会員ページから秘密鍵をダウンロードしてファイルに保存して下さい。

    サーバ上にある既存の証明書ファイル・秘密鍵ファイルを上書きしないよう注意してください。
    違うファイル名で作成するなど、充分注意してください。

  4. Apach-SSL設定ファイル (初期ファイル名は、httpsd.conf 、 ssl.conf など)をエディタで開きます。

    # vi ssl.conf

    ※編集前の設定ファイルをバックアップ保存することをおすすめします。

    ※お客さまの環境によりまして、上記の設定ファイル名は違う場合がありますので、ご利用の環境に読み換えて下さい。

    ※以下は記載例ですので、赤字の箇所はお客様の環境によって読み替えてください。

    <VirtualHost www.yourdomain.co.jp:443>
    DocumentRoot "/var/www/html"
    ServerName www.yourdomain.co.jp
    SSLEngine on
    SSLCertificateFile /usr/local/ssl/certs/2010cert.pem
    SSLCACertificateFile /usr/local/ssl/certs/www_yourdomain_co_jp_apache.crt
    SSLCertificateKeyFile /usr/local/ssl/private/2010key.pem
    <VirtualHost>

    本例はVirtualHostでサイトを運用している場合を前提としています。
    VirtualHostでサイトをご利用ではない場合はVirtualHostの外に証明書を設定いただいて問題ございません。

    SSLCertificateFile /usr/local/ssl/certs/2010cert.pem ←サーバ証明書ファイル
    SSLCACertificateFile /usr/local/ssl/certs/www_yourdomain_co_jp_apache.crt ←中間CA証明書ファイル
    SSLCertificateKeyFile /usr/local/ssl/private/2010key.pem ←秘密鍵ファイル

  5. 設定ファイルの編集完了後は、Apacheサーバを起動(起動中の場合は一旦停止させ起動)します。

    # apachectl stop
    # apachectl startssl

    ※restartでは、正常に読み込まれない場合がありますので、stop、startコマンドのご利用をお勧めいたします。
    ※ご利用の環境によっては、停止・起動コマンドが異なる場合がありますのでご了承ください。

  6. エラーが表示される場合

    (1) キーペアの組み合わせが正しくない場合
    key values mismatch などのメッセージが表示される場合は、証明書ファイルと、秘密鍵ファイルの組み合わせが正しくありません。
    正しい組み合わせで設定ファイルに指定してください。

    (2) パスフレーズが誤っている場合
    秘密鍵を作成した際にパスフレーズを設定した場合は、Apacheの起動時にパスフレーズが要求されます。パスフレーズを忘れてしまった場合にはApacheを起動することができません。パスフレーズを忘れてしまった場合には、新しい秘密鍵を作成して、CSRを生成し、再度証明書の取得が必要です。

以上でインストール作業は完了です。

■ステップ2 インストールチェッカーで正しくインストールできたか確認

Apacheサーバを起動後、各発行機関の提供する>>インストールチェッカーで サーバ証明書と中間CA証明書が正しくインストールできたか確認して下さい。

■ステップ3 秘密鍵ファイルと証明書ファイルのバックアップ

ハードウェア障害などに備え、正しい組み合わせでキーペア(秘密鍵ファイル と 証明書ファイル)をバックアップしておきます。

  • サーバをリプレイスする場合などには、キーペアの各ファイルを新しい環境にインポートすることで移行して利用できます。
  • 秘密鍵を紛失した場合、取得したサーバ証明書を利用できません。確実にバックアップを取ってください。
  • 既存の秘密鍵、証明書と混同しないよう、ファイル名で見分けるなどして管理してください。
  • 作成時に設定したパスワードを忘れないよう、注意してください。


-