SSLサーバー証明書インストール Apache-SSL + SSLeay
[新規・更新]Thawte SSL ウェブサーバ (旧)
SSLサーバ証明書をApache-SSL + SSLeay環境にインストールする手順を説明します。新規取得時・更新取得時ともに同じ手順です。
■ステップ1 サーバ証明書のインストール
受信したサーバ証明書発行完了メール本文中には、末尾にサーバ証明書が記載されています。
- サーバ証明書
受信したサーバ証明書通知メール本文中にある
(------BEGIN CERTIFICATE-----) から (-----END CERTIFICATE-----) までをコピーし、
テキストエディタに貼り付け、サーバ証明書ファイルとして任意のファイル名で保存します。
ファイル名の 例: 2009cert.pem
- 保存したサーバ証明書ファイルと、CSR生成時に作成した秘密鍵ファイルの2つを管理しやすいディレクトリに保存します。
例:
サーバ証明書ファイル /usr/local/ssl/certs/2009cert.pem
秘密鍵ファイル /usr/local/ssl/private/2009key.pemサーバ上にある既存の証明書ファイル・秘密鍵ファイルを上書きしないよう注意してください。
違うファイル名で作成するなど、充分注意してください。 - Apach-SSL設定ファイル (初期ファイル名は、httpsd.conf 、 ssl.conf など)をエディタで開きます。
# vi ssl.conf
※編集前の設定ファイルをバックアップ保存することをおすすめします。
※お客さまの環境によりまして、上記の設定ファイル名は違う場合がありますので、ご利用の環境に読み換えて下さい。
※以下は記載例ですので、赤字の箇所はお客様の環境によって読み替えてください。
<VirtualHost www.yourdomain.co.jp:443>
DocumentRoot “/var/www/html”
ServerName www.yourdomain.co.jp
SSLEngine on
SSLCertificateFile /usr/local/ssl/certs/2009cert.pem
SSLCertificateKeyFile /usr/local/ssl/private/2009key.pem
<VirtualHost>本例はVirtualHostでサイトを運用している場合を前提としています。
VirtualHostでサイトをご利用ではない場合はVirtualHostの外に証明書を設定いただいて問題ございません。SSLCertificateFile /usr/local/ssl/certs/2009cert.pem ←サーバ証明書ファイル
SSLCertificateKeyFile /usr/local/ssl/private/2009key.pem ←秘密鍵ファイル - 設定ファイルの編集完了後は、Apacheサーバを起動(起動中の場合は一旦停止させ起動)します。
# apachectl stop
# apachectl startssl※restartでは、正常に読み込まれない場合がありますので、stop、startコマンドのご利用をお勧めいたします。
※ご利用の環境によっては、停止・起動コマンドが異なる場合がありますのでご了承ください。 - エラーが表示される場合
(1) キーペアの組み合わせが正しくない場合
key values mismatch などのメッセージが表示される場合は、証明書ファイルと、秘密鍵ファイルの組み合わせが正しくありません。
正しい組み合わせで設定ファイルに指定してください。 - ブラウザから確認
Apacheサーバを起動後、ブラウザからhttps://www.yourdomain.co.jp と「https://~」で始まるアドレスを入力して、SSL通信を確認して下さい。※ www.yourdomain.co.jp はお客さまのコモンネームに読み替えて下さい。
以上でインストール作業は完了です。
■ステップ2 秘密鍵ファイルと証明書ファイルのバックアップ
ハードウェア障害などに備え、正しい組み合わせでキーペア(秘密鍵ファイル と 証明書ファイル)をバックアップしておきます。
- サーバをリプレイスする場合などには、キーペアの各ファイルを新しい環境にインポートすることで移行して利用できます。
- 秘密鍵を紛失した場合、取得したサーバ証明書を利用できません。確実にバックアップを取ってください。
- 既存の秘密鍵、証明書と混同しないよう、ファイル名で見分けるなどして管理してください。
- 作成時に設定したパスワードを忘れないよう、注意してください。