秘密鍵の作成とCSRの発行

証明書を信頼されたCAから発行してもらうにはサーバーでCSRを作成し提出する必要があります
環境としてはApache2.0+mod_SSL+OpenSSLの組み合わせとなります。利用する証明書はグローバルサイン社の
クイックSSLワイルドカード証明書です。

先ずはSSLをインストールするディレクトリへ移動します、念のためOpenSSLが組み込まれているか確認

# cd /etc/httpd/conf
# openssl version
OpenSSL 0.9.7m 23 Feb 2007

次に秘密鍵を生成します。入力したパスフレーズを忘れると大変です。必ず忘れないように

# openssl genrsa -des3 -out ./ssl.key/hogehoge.com.key 1024
Generating RSA private key, 1024 bit long modulus
..............................++++++
................................................++++++
e is 65537 (0x10001)
Enter pass phrase for ./ssl.key/hogehoge.com.key:＊＊＊＊＊＊
Verifying - Enter pass phrase for ./ssl.key/hogehoge.com.key:＊＊＊＊＊＊

続いてCSRの発行に移ります。コマンド実行後必要な情報に答えていきます
ワイルドカード証明書なので、コモンネームの欄は「*.hogehoge.com」とします。
通常の証明書の場合には、必ずアクセスさせたいFQDNを入力します。コモンネームを「hogehoge.com」
として証明書を作成した場合、「www.hogehoge.com」としてアクセスするとエラーが表示されます。

CSRに必要な情報は以下の通りです。

Country Name（国名）
State or Province Name（都道府県）
Locality Name（市区町村）
Organization Name（組織名）
Organization Unit Name （部署名）
Common Name（証明に利用するFQDN）

その他の項目はすべて[]空欄のままでスキップして問題ないようです

# openssl req -new -key ./ssl.key/hogehoge.com.key -out ./ssl.csr/hogehoge.com.csr
Enter pass phrase for ./ssl.key/hogehoge.com.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.

• • • • -

Country Name (2 letter code) [GB]:JP
State or Province Name (full name) [Berkshire]:Tokyo
Locality Name (eg, city) [Newbury]:Minato-ku
Organization Name (eg, company) [My Company Ltd]:HARUKA.ltd
Organizational Unit Name (eg, section) :HARUKA
Common Name (eg, your name or your server's hostname) :*.hogehoge.com
Email Address :

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password :
An optional company name []:

するとこんな感じでCSRが生成されます。これをそのままCAに送って証明書を待ちます。

-----BEGIN CERTIFICATE REQUEST-----
jlasdf7qrjhnadvytqpofgrtw6w3hneuedodyh
roqu9p9t54gmkgvhz;:edy8weuipogosyg97a0
hg8093jaduiqaufra6e3g4ega13d5*6ra4ya1h
-----END CERTIFICATE REQUEST-----

SSL証明書のインストール

CAから証明書が届いたら証明書のインストール（というか保存）をします。中間証明書と証明書どちらも〃ディレクトリに保存しました。dvcacert.cerは中間証明書です。

vi /etc/httpd/conf/ssl.crt/dvcacert.crt
vi /etc/httpd/conf/ssl.crt/hogehoge.com.crt

httpd.confの修正

httpd.confで証明書のファイルを指定するディレクティブを追加します。サーバーではヴァーチャルホストに利用するので、以下のように記述しました。

　　SSLEngine on
ServerName www.hogehoge
DocumentRoot /var/www/html/hogehoge.com/
　　## certificate file path below
　　SSLCertificateChainFile /etc/httpd/conf/ssl.crt/dvcacert.cer
　　SSLCertificateFile /etc/httpd/conf/ssl.crt/hogehoge.com.crt
　　SSLCertificateKeyFile /etc/httpd/conf/ssl.key/hogehoge.com.key

AllowOverride None
Options ExecCGI
Order allow,deny
Allow from all

CustomLog /var/log/httpd/hogehoge.com/access_log combined
ErrorLog /var/log/httpd/hogehoge.com/error_log

設定が終了したらApacheを再起動します。秘密鍵に設定されたパスフレーズが要求されるので入力します。
ただしいパスフレーズを入力しませんとサーバーは起動しません。起動したら「https:〜」でアクセスし正常に証明書が表示されることを確認します。

# /etc/rc.d/init.d/httpd restart
Stopping httpd: [ OK ]
Starting httpd: Apache/2.0.52 mod_ssl/2.0.52 (Pass Phrase Dialog)
Some of your private key files are encrypted for security reasons.
In order to read them you have to provide the pass phrases.

Server hogehoge.com:443 (RSA)
Enter pass phrase:＊＊＊＊＊＊＊＊

パスフレーズの入力省略

上記のようにSSL証明書を読み込む場合、基本的にはパスフレーズを入力しなければなりません。しかしこれではレンタルサーバーなどで再起動が発生する場合などには対応が出来ません。
以下のコマンドで、パスフレーズを抜くことが出来ますが、セキュリティ上あまり好ましくないかもしれません。

openssl rsa -in key.pem.org -out key.pem

そこで今回は、mod_sslの機能を利用して自動でパスフレーズを入力できるようにしてみます。
具体的には、/etc/httpd/conf.d/ssl.confの中で「SSLPassPhraseDialog」ディレクティブに設定します。

SSLPassPhraseDialog exec:/etc/httpd/conf/ssl.key/passphrase.sh

passphrase.shファイルは以下のようにパスフレーズが出力されるようにシェルスクリプトとして書いておきます

#!/bin/sh
echo "passphrase"

こうすることで、パスフレーズを入力しなくてもApacheが起動できます。セキュリティのため、root:rootで700パーミッションにしておけばよいかと思います。