証明書の設定Apache (mod_ssl 2.0.44以前) 新規/更新用
中間CA証明書、サーバー証明書をダウンロードし、次の手順に従い証明書を設定してください。
このページでは、2.0.44以前の2系列のApacheのmod_sslに 証明書をインストールする方法を説明します。
Apache-SSLへの対応は停止しました。mod_sslや他のサーバーへ移行してください。
また、2.0.44以前の2系列のApacheにはチェーン証明書の処理に欠陥があり、 配布物件に同梱されたマニュアルどおりにインストールすると機能しません。そのため、 このページの内容は、 同梱マニュアルの記載とは異なっています。 あらかじめご承知おきください。
≪0系列のOpenSSLをご利用の場合≫
0系列のOpenSSLへの対応は停止しました。
できるだけ新しい系列のOpenSSLに移行してください。
≪1.1.0より前のOpenSSLをご利用の場合≫
1.1.1以降の系列のOpenSSLへの移行を推奨します。
なぜならば、
- ・1.1.0より前のOpenSSLは、1.2以降のTLSプロトコルをサポートしていない
- ・1.1.0系列は、2019-09-11にサポートが終了
だからです。
≪Windows版をご利用の場合≫
Windows環境では実際の表記や用語が異なりますのでご注意ください。
環境 | Unix | DOS(Windows) |
変数置換 | ${変数名} | %変数名% |
パス名 | /ディレクトリー名/ファイル名 | ドライブ名:¥ディレクトリー名¥ファイル名 |
プロンプト | #や$ | ドライブ名> |
コマンド・インタープリタ | シェル | コマンド プロンプト |
SSL/TLS通信を行うためには、 Apacheの立上げ時に読み込むファイルで、 証明書や鍵ペアのパス名を指定する必要があります。 既定の立上げファイルは、 サーバーのインストール先ディレクトリーのconf下位ディレクトリーにあります。 サーバーの種類や版にしたがって、 具体的なパス名は異なります。
サーバーの種類や版 既定の立上げファイル名 | |
---|---|
Apache 2.0 | ssl.conf |
上記は、開発者らの配布しているオリジナルの値です。 上記と違った値にカスタム化し、 配布されていることもあります。 もし見つからないときは、 配布元へお問い合わせください。
同名の別ファイルと勘違いしないよう、ご注意ください。2系のApacheのconf/originalという下位ディレクトリーには、 上記と同名の別ファイルのあることがあります。
以下の SSLCACertificatePath、 SSLCertificateFile、 SSLCertificateKeyFile等のエントリーは、 この立上げファイルの中にあります。
また、設定を行った後には各種エントリーの左に「#」 文字のないことを確認してください。 立上げファイルでは、 「#」 文字で行内コメントが始まるからです。
コマンド例:
#
>
X:¥>
C:¥>
コマンド・プロンプトです。 入力しないでください (お使いのブラウザによっては、 実際は1行のプロンプトの右のコマンドが、 2行以上で表示、 印字されることがあります)
このページでは、 次のパス名を例にとります。
コマンド例:
bin
コマンドのインストールされる下位ディレクトリーです。 もし見当たらないときは、
- ・sbin
- ・libexec
などもさがしてみてください
コマンド例:
EV2.0CA.txt
チェーン証明書ファイルです。 現在作業中のディレクトリーにあるものとしています
次のパス名は任意です。 異なる値を指定している場合、 適宜読み替えてください。 Apacheの系列によっては、 二重引用符でくくられていることもありますが、 これも同様に読み替えてください。
コマンド例:
/APACHE_HOME
¥APACHE_HOME
Apacheのインストール先ディレクトリーです
コマンド例:
/APACHE_HOME/conf/ssl
Unix環境でのチェーン証明書の指定です
コマンド例:
/APACHE_HOME/conf/ssl.crt/server.crt
Unix環境でのサーバー証明書の指定です
コマンド例:
/APACHE_HOME/conf/ssl.key/server.key
Unix環境での鍵ペア・ファイルの指定です
コマンド例:
B1234567.txt
サーバー証明書ファイルです。 現在作業中のディレクトリーにあるものとしています
コマンド例:
C:
WindowsプラットホームでのApacheのインストール先ドライブです
コマンド例:
C:¥APACHE_HOME¥conf¥ssl
Windows環境でのチェーン証明書の指定です
コマンド例:
C:¥APACHE_HOME¥conf¥ssl.crt¥server.crt
Windows環境でのサーバー証明書の指定です
コマンド例:
C:¥APACHE_HOME¥conf¥ssl.key¥server.key
Windows環境での鍵ペア・ファイルの指定です
コマンド例:
servername.key
鍵ペアのファイルです。 現在作業中のディレクトリーにあるものとしています
各証明書は必ずバックアップをとって、 安全な場所に格納してください。
1.チェーン証明書(中間CA証明書)のインストール
- 注意事項
- 中間CA証明書が新しくなりました。
2023/9/2以降に発行される証明書より、新しい中間CA証明書をインストールする必要があります。
お客様専用ページから新しい中間CA証明書をダウンロードして、インストールを行ってください。
この手順では、 例として立上げファイル内のSSLCACertificatePathエントリーに以下の指定がされているものとします。
1-1
チェーン証明書(中間CA証明書)の名前の変更とディレクトリの移動
中間CAの証明書をインストールします。
中間CA証明書のファイル名を以下指定している名前に変更し、SSLCACertificatePathエントリー指定したパス名へ移動させます。
※下記手順で変更する具体的なファイル名は、次のとおりです。
CA名 | ファイル名 |
SECOM Passport for Web EV 2.0 CA | 7c50ecec.0 |
コマンド例:
mv EV2.0CA.txt /APACHE_HOME/conf/ssl/7c50ecec.0
1-2
確認
指定したディレクトリーに上記の名前に変更した中間CA証明書ファイルが保存されているかご確認ください。
以上で中間CA証明書のインストールは完了です。
2.サーバー証明書のインストール
この手順では、 例として立上げファイル内のSSLCertificateFileエントリーに以下の指定がされているものとします。
2-1
サーバー証明書を、SSLCertificateFileエントリーで指定した名前のファイルへ移動
サーバー証明書を、SSLCertificateFileエントリで指定したパス名へ移動させます。
※B1234567.cer(サーバー証明書)は、 現在作業中のディレクトリーにあるものとします。
コマンド例:
mv B1234567.cer /APACHE_HOME/conf/ssl.crt/server.crt
2-2
確認
指定したディレクトリーに 「server.crt」 ファイルが保存されているかご確認ください。
以上でサーバー証明書のインストールは完了です。
3.鍵ペアの設定
この手順では例として、 立上げファイル内のSSLCertificateKeyFileエントリーに以下の指定がされているものとします。
3-1
鍵ペアのファイルの移動
サーバー証明書に対応する鍵ペアのファイルを、SSLCertificateKeyFileエントリで指定したパス名へ移動させます。
※servername.key(お申込み時に生成した鍵ペアファイル)は、 現在作業中のディレクトリーにあるものとします。
コマンド例:
mv servername.key /APACHE_HOME/conf/ssl.key/server.key
3-2
確認
指定したディレクトリーに 「server.key」 ファイルが保存されているかご確認ください。
以上で鍵ペアの設定は完了です。
4.Apacheのサーバー・プロセス再起動
4-1
Apacheのサーバー・プロセスの停止
Apacheのサーバー・プロセスを停止してください。
コマンド例:
/APACHE_HOME/bin/apachectl stop
4-2
Apacheのサーバー・プロセスの再開
Apacheのサーバー・プロセスを再開してください。
プロンプトが出たら「鍵ペアおよびCSRの生成」 で入力したパスフレーズを入力してください。
コマンド例:
/APACHE_HOME/bin/apachectl start
※「graceful」 や 「restart」 などを引数に指定して実行しても、 新しい証明書の設定になりませんので、ご注意ください。
証明書のインストールは、以上で完了です。