セコムのSSLサーバー証明書

証明書の設定Apache (mod_ssl 2.0.44以前など) 新規/更新用

中間CA証明書、サーバー証明書をダウンロードし、次の手順に従い証明書を設定してください。


このページでは、

  • ・1.3系列のApache-SSL
  • ・2.0.44以前の2系列のApacheのmod_ssl

に証明書をインストールする方法を説明します。


Apache・OpenSSLのバージョンおよびWindows版に関する注意事項

以下のバージョンのApacheやOpenSSLをご利用の場合、Apache-SSLは対応していません。 mod_sslや他のサーバーへの移行のご検討をおすすめいたします。

  • ・Apache 2系列以降
  • ・Apache 1.3.42 (1.3系列の最終リリース)
  • ・OpenSSLの1.0系列以降

また、2.0.44以前の2系列のApacheにはチェーン証明書の処理に欠陥があり、 配布物件に同梱されたマニュアルどおりにインストールすると機能しません。そのため、 このページの内容は、 同梱マニュアルの記載とは異なっています。 あらかじめご承知おきください。

≪1.1.0より前のOpenSSLをご利用の場合≫
1.1.1以降の系列のOpenSSLへの移行を推奨します。
なぜならば、

  • ・1.1.0より前のOpenSSLは、1.2以降のTLSプロトコルをサポートしていない
  • ・1.1.0系列は、2019-09-11にサポートが終了の予定

だからです。

≪Windows版をご利用の場合≫
Windows環境では実際の表記や用語が異なりますのでご注意ください。

環境 Unix DOS(Windows)
変数置換 ${変数名} %変数名%
パス名 /ディレクトリー名/ファイル名 ドライブ名:¥ディレクトリー名¥ファイル名
プロンプト #や$ ドライブ名>
コマンド・インタープリタ シェル コマンド プロンプト
インストール時の注意点

SSL/TLS通信を行うためには、 Apacheの立上げ時に読み込むファイルで、 証明書や鍵ペアのパス名を指定する必要があります。 既定の立上げファイルは、 サーバーのインストール先ディレクトリーのconf下位ディレクトリーにあります。 サーバーの種類や版にしたがって、 具体的なパス名は異なります。

サーバーの種類や版 既定の立上げファイル名
Apache-SSL httpsd.conf
Apache 2.0 ssl.conf

上記は、 Apache-SSLやApacheの開発者らの配布しているオリジナルの値です。 上記と違った値にカスタム化し、 配布されていることもあります。 もし見つからないときは、 配布元へお問い合わせください。

同名の別ファイルと勘違いしないよう、ご注意ください。2系のApacheのconf/originalという下位ディレクトリーには、 上記と同名の別ファイルのあることがあります。
以下の SSLCACertificatePath、 SSLCertificateFile、 SSLCertificateKeyFile等のエントリーは、 この立上げファイルの中にあります。

また、設定を行った後には各種エントリーの左に「#」 文字のないことを確認してください。 立上げファイルでは、 「#」 文字で行内コメントが始まるからです。

コマンド例:

#
>
X:¥>
C:¥>

コマンド・プロンプトです。 入力しないでください (お使いのブラウザによっては、 実際は1行のプロンプトの右のコマンドが、 2行以上で表示、 印字されることがあります)

このページでは、 次のパス名を例にとります。
コマンド例:

bin

コマンドのインストールされる下位ディレクトリーです。 もし見当たらないときは、

  • ・sbin
  • ・libexec

などもさがしてみてください

コマンド例:

SECOM PassportforWeb SR3.0 CA.txt

チェーン証明書ファイルです。 現在作業中のディレクトリーにあるものとしています

次のパス名は任意です。 異なる値を指定している場合、 適宜読み替えてください。 Apacheの系列によっては、 二重引用符でくくられていることもありますが、 これも同様に読み替えてください。

コマンド例:

/APACHE_HOME
¥APACHE_HOME

Apacheのインストール先ディレクトリーです

コマンド例:

/APACHE_HOME/conf/ssl

Unix環境でのチェーン証明書の指定です

コマンド例:

/APACHE_HOME/conf/ssl.crt/server.crt

Unix環境でのサーバー証明書の指定です

コマンド例:

/APACHE_HOME/conf/ssl.key/server.key

Unix環境での鍵ペア・ファイルの指定です

コマンド例:

B1234567.txt

サーバー証明書ファイルです。 現在作業中のディレクトリーにあるものとしています

コマンド例:

C:

WindowsプラットホームでのApacheのインストール先ドライブです

コマンド例:

C:¥APACHE_HOME¥conf¥ssl

Windows環境でのチェーン証明書の指定です

コマンド例:

C:¥APACHE_HOME¥conf¥ssl.crt¥server.crt

Windows環境でのサーバー証明書の指定です

コマンド例:

C:¥APACHE_HOME¥conf¥ssl.key¥server.key

Windows環境での鍵ペア・ファイルの指定です

コマンド例:

servername.key

鍵ペアのファイルです。 現在作業中のディレクトリーにあるものとしています


各証明書は必ずバックアップをとって、 安全な場所に格納してください。

1.チェーン証明書(中間CA証明書)のインストール

2018/3/30より新しい中間CA証明書を発行しております。更新の場合も、中間CA証明書を新たにインストールしてください。

この手順では、 例として立上げファイル内のSSLCACertificatePathエントリーに以下の指定がされているものとします。

例) SSLCACertificatePath /APACHE_HOME/conf/ssl

1-1
チェーン証明書 (中間CA証明書) の名前の変更とディレクトリーの移動

中間CA証明書のファイル名を以下で指定している名前に変更し、SSLCACertificatePathエントリーで指定したパス名の下へ移動させます。

※下記手順で変更する具体的なファイル名は、OpenSSLの系列にしたがって異なります。

CA名 0系例以前の場合のファイル名 1系列以降の場合のファイル名
SECOM Passport for Web SR 3.0 CA 26d8075d.0 478050d1.0

コマンド例:

mv pfwsr3ca.txt /APACHE_HOME/conf/ssl/478050d1.0

4階層の場合

次の証明書を追加でインストールしてください。

CA名 0系例以前の場合のファイル名 1系列以降の場合のファイル名
Security Communication RootCA2 cd58d51e.0 d59297b8.0

1-2
確認

指定したディレクトリーに上記の名前に変更した中間CA証明書ファイルが保存されているかご確認ください。
以上で中間CA証明書のインストールは完了です。

2.サーバー証明書のインストール

この手順では、 例として立上げファイル内のSSLCertificateFileエントリーに以下の指定がされているものとします。

例) SSLCertificateFile /APACHE_HOME/conf/ssl.crt/server.crt

2-1
サーバー証明書を、SSLCertificateFileエントリーで指定した名前のファイルへ移動

サーバー証明書を、SSLCertificateFileエントリで指定したパス名へ移動させます。

※B1234567.cer(サーバー証明書)は、 現在作業中のディレクトリーにあるものとします。

コマンド例:

mv B1234567.cer /APACHE_HOME/conf/ssl.crt/server.crt

2-2
確認

指定したディレクトリーに 「server.crt」 ファイルが保存されているかご確認ください。
以上でサーバー証明書のインストールは完了です。

3.鍵ペアの設定

この手順では例として、 立上げファイル内のSSLCertificateKeyFileエントリーに以下の指定がされているものとします。

例) SSLCertificateKeyFile /APACHE_HOME/conf/ssl.key/server.key

3-1
鍵ペアのファイルの移動

サーバー証明書に対応する鍵ペアのファイルを、SSLCertificateKeyFileエントリで指定したパス名へ移動させます。

※servername.key(お申込み時に生成した鍵ペアファイル)は、 現在作業中のディレクトリーにあるものとします。

コマンド例:

mv servername.key /APACHE_HOME/conf/ssl.key/server.key

3-2
確認

指定したディレクトリーに 「server.key」 ファイルが保存されているかご確認ください。

以上で鍵ペアの設定は完了です。

4.Apacheのサーバー・プロセス再起動

4-1
Apacheのサーバー・プロセスの停止

Apacheのサーバー・プロセスを停止してください。

コマンド例:

/APACHE_HOME/bin/httpsdctl stop

(2.0.44以前のmod_sslの場合  /APACHE_HOME/bin/apachectl stop)


4-2
Apacheのサーバー・プロセスの再開

Apacheのサーバー・プロセスを再開してください。
プロンプトが出たら「鍵ペアおよびCSRの生成」 で入力したパスフレーズを入力してください。

コマンド例:

/APACHE_HOME/bin/httpsdctl start

(2.0.44以前のmod_sslの場合  /APACHE_HOME/bin/apachectl start)

※「graceful」 や 「restart」 などを引数に指定して実行しても、 新しい証明書の設定になりませんので、ご注意ください。

証明書のインストールは、以上で完了です。