証明書の設定Apache (mod_ssl 2.0.44以前など) 新規/更新用
中間CA証明書、サーバー証明書をダウンロードし、次の手順に従い証明書を設定してください。
このページでは、
- ・1.3系列のApache-SSL
- ・2.0.44以前の2系列のApacheのmod_ssl
に証明書をインストールする方法を説明します。
以下のバージョンのApacheやOpenSSLをご利用の場合、Apache-SSLは対応していません。 mod_sslや他のサーバーへの移行のご検討をおすすめいたします。
- ・Apache 2系列以降
- ・Apache 1.3.42 (1.3系列の最終リリース)
- ・OpenSSLの1.0系列以降
また、2.0.44以前の2系列のApacheにはチェーン証明書の処理に欠陥があり、 配布物件に同梱されたマニュアルどおりにインストールすると機能しません。そのため、 このページの内容は、 同梱マニュアルの記載とは異なっています。 あらかじめご承知おきください。
≪1.1.0より前のOpenSSLをご利用の場合≫
1.1.1以降の系列のOpenSSLへの移行を推奨します。
なぜならば、
- ・1.1.0より前のOpenSSLは、1.2以降のTLSプロトコルをサポートしていない
- ・1.1.0系列は、2019-09-11にサポートが終了した
からです。
≪Windows版をご利用の場合≫
Windows環境では実際の表記や用語が異なりますのでご注意ください。
| 環境 | Unix | DOS(Windows) |
| 変数置換 | ${変数名} | %変数名% |
| パス名 | /ディレクトリー名/ファイル名 | ドライブ名:¥ディレクトリー名¥ファイル名 |
| プロンプト | #や$ | ドライブ名> |
| コマンド・インタープリタ | シェル | コマンド プロンプト |
SSL/TLS通信を行うためには、 Apacheの立上げ時に読み込むファイルで、 証明書や鍵ペアのパス名を指定する必要があります。 既定の立上げファイルは、 サーバーのインストール先ディレクトリーのconf下位ディレクトリーにあります。 サーバーの種類や版にしたがって、 具体的なパス名は異なります。
| サーバーの種類や版 既定の立上げファイル名 | |
|---|---|
| Apache-SSL | httpsd.conf |
| Apache 2.0 | ssl.conf |
上記は、 Apache-SSLやApacheの開発者らの配布しているオリジナルの値です。 上記と違った値にカスタム化し、 配布されていることもあります。 もし見つからないときは、 配布元へお問い合わせください。
同名の別ファイルと勘違いしないよう、ご注意ください。2系のApacheのconf/originalという下位ディレクトリーには、 上記と同名の別ファイルのあることがあります。
以下の SSLCACertificatePath、 SSLCertificateFile、 SSLCertificateKeyFile等のエントリーは、 この立上げファイルの中にあります。
また、設定を行った後には各種エントリーの左に「#」 文字のないことを確認してください。 立上げファイルでは、 「#」 文字で行内コメントが始まるからです。
コマンド例:
#
>
X:¥>
C:¥>コマンド・プロンプトです。 入力しないでください (お使いのブラウザによっては、 実際は1行のプロンプトの右のコマンドが、 2行以上で表示、 印字されることがあります)
このページでは、 次のパス名を例にとります。
コマンド例:
binコマンドのインストールされる下位ディレクトリーです。 もし見当たらないときは、
- ・sbin
- ・libexec
などもさがしてみてください
コマンド例:
SECOM PassportforWeb SR3.0 CA.txtチェーン証明書ファイルです。 現在作業中のディレクトリーにあるものとしています
次のパス名は任意です。 異なる値を指定している場合、 適宜読み替えてください。 Apacheの系列によっては、 二重引用符でくくられていることもありますが、 これも同様に読み替えてください。
コマンド例:
/APACHE_HOME
¥APACHE_HOMEApacheのインストール先ディレクトリーです
コマンド例:
/APACHE_HOME/conf/sslUnix環境でのチェーン証明書の指定です
コマンド例:
/APACHE_HOME/conf/ssl.crt/server.crtUnix環境でのサーバー証明書の指定です
コマンド例:
/APACHE_HOME/conf/ssl.key/server.keyUnix環境での鍵ペア・ファイルの指定です
コマンド例:
B1234567.txtサーバー証明書ファイルです。 現在作業中のディレクトリーにあるものとしています
コマンド例:
C: WindowsプラットホームでのApacheのインストール先ドライブです
コマンド例:
C:¥APACHE_HOME¥conf¥ssl Windows環境でのチェーン証明書の指定です
コマンド例:
C:¥APACHE_HOME¥conf¥ssl.crt¥server.crt Windows環境でのサーバー証明書の指定です
コマンド例:
C:¥APACHE_HOME¥conf¥ssl.key¥server.keyWindows環境での鍵ペア・ファイルの指定です
コマンド例:
servername.key鍵ペアのファイルです。 現在作業中のディレクトリーにあるものとしています
各証明書は必ずバックアップをとって、 安全な場所に格納してください。
1.チェーン証明書(中間CA証明書)のインストール
この手順では、 例として立上げファイル内のSSLCACertificatePathエントリーに以下の指定がされているものとします。
1-1
チェーン証明書 (中間CA証明書) の名前の変更とディレクトリーの移動
中間CA証明書のファイル名を以下で指定している名前に変更し、SSLCACertificatePathエントリーで指定したパス名の下へ移動させます。
※下記手順で変更する具体的なファイル名は、OpenSSLの系列にしたがって異なります。
| CA名 | 0系例以前の場合のファイル名 | 1系列以降の場合のファイル名 |
| SECOM Passport for Web SR 3.0 CA | 26d8075d.0 | 478050d1.0 |
コマンド例:
mv pfwsr3ca.txt /APACHE_HOME/conf/ssl/478050d1.0
1-2
確認
指定したディレクトリーに上記の名前に変更した中間CA証明書ファイルが保存されているかご確認ください。
以上で中間CA証明書のインストールは完了です。
2.サーバー証明書のインストール
この手順では、 例として立上げファイル内のSSLCertificateFileエントリーに以下の指定がされているものとします。
2-1
サーバー証明書を、SSLCertificateFileエントリーで指定した名前のファイルへ移動
サーバー証明書を、SSLCertificateFileエントリで指定したパス名へ移動させます。
※B1234567.cer(サーバー証明書)は、 現在作業中のディレクトリーにあるものとします。
コマンド例:
mv B1234567.cer /APACHE_HOME/conf/ssl.crt/server.crt
2-2
確認
指定したディレクトリーに 「server.crt」 ファイルが保存されているかご確認ください。
以上でサーバー証明書のインストールは完了です。
3.鍵ペアの設定
この手順では例として、 立上げファイル内のSSLCertificateKeyFileエントリーに以下の指定がされているものとします。
3-1
鍵ペアのファイルの移動
サーバー証明書に対応する鍵ペアのファイルを、SSLCertificateKeyFileエントリで指定したパス名へ移動させます。
※servername.key(お申込み時に生成した鍵ペアファイル)は、 現在作業中のディレクトリーにあるものとします。
コマンド例:
mv servername.key /APACHE_HOME/conf/ssl.key/server.key
3-2
確認
指定したディレクトリーに 「server.key」 ファイルが保存されているかご確認ください。
以上で鍵ペアの設定は完了です。
4.Apacheのサーバー・プロセス再起動
4-1
Apacheのサーバー・プロセスの停止
Apacheのサーバー・プロセスを停止してください。
コマンド例:
/APACHE_HOME/bin/httpsdctl stop(2.0.44以前のmod_sslの場合 /APACHE_HOME/bin/apachectl stop)
4-2
Apacheのサーバー・プロセスの再開
Apacheのサーバー・プロセスを再開してください。
プロンプトが出たら「鍵ペアおよびCSRの生成」 で入力したパスフレーズを入力してください。
コマンド例:
/APACHE_HOME/bin/httpsdctl start(2.0.44以前のmod_sslの場合 /APACHE_HOME/bin/apachectl start)
※「graceful」 や 「restart」 などを引数に指定して実行しても、 新しい証明書の設定になりませんので、ご注意ください。
証明書のインストールは、以上で完了です。
