サーバ証明書インストール手順(Apache+OpenSSL)
証明書ファイルの作成
(1) サーバ証明書ファイルをダウンロードします。
マイページにログインいただき、 インストールさせるサーバ証明書を選んでダウンロードしてください。
ファイル名は任意のものを指定します。(例:web.cer)
(2) 中間認証局証明書ファイルをリポジトリからダウンロードして保存してください。
| パブリックWebサーバ証明書 | EINS/PKI for EDI |
|---|---|
| こちらより中間認証局証明書をダウンロードします。 | こちらより中間認証局証明書をダウンロードします。 |
ダウンロードした中間認証局証明書ファイルを任意のファイル名で保存します。(例:chain_ca.cer)
(3) 証明書ファイルを保存します。
【Apache2.4.7以前をご利用の場合】
(1)、(2)で取得した証明書ファイルをWebサーバの任意のディレクトリに保存します。
| ファイル | 保存先のディレクトリ(例) |
|---|---|
| サーバ証明書ファイル | /usr/local/ssl/certs/web.cer |
| サーバの秘密鍵ファイル | /usr/local/ssl/private/private.key |
| 中間認証局証明書ファイル | /usr/local/ssl/certs/chain_ca.cer |
【Apache2.4.8以降をご利用の場合】
Apache2.4.8以降では中間認証局証明書を指定するSSLCertificateChainFileが非推奨となります。
以下の手順でサーバ証明書ファイルと中間認証局証明書ファイルを統合し、1つのファイルにしてください。
※作業前にサーバ証明書ファイルのバックアップを取ることをお薦めします。
- 中間認証局証明書ファイルをテキストエディタで開き、「—–BEGIN CERTIFICATE—–」から「—–END CERTIFICATE—–」までをコピーします。
- サーバ証明書ファイルをテキストエディタで開き、最後尾に1.でコピーした中間認証局証明書の内容を貼り付け、上書き保存します。
- 統合したサーバ証明書ファイルを任意のディレクトリに保存します。中間認証局証明書ファイルを保存する必要はありません。
| —–BEGIN CERTIFICATE—–← サーバ証明書 MIIG7DCCBdSgAwIBAgIQAz1mh4jdNUkQAz3xKtB5GTANBgkqhkiG9w0BAQsFADBp (略) Za7zt6VJbfGwJaekjRPw6z4761z3Aa33xHGyYytdEU+XuiMZRtiMFxze5CA0S6Fz —–END CERTIFICATE—– —–BEGIN CERTIFICATE—–← 中間認証局証明書を貼り付ける MIIEqTCCA5GgAwIBAgIJIrmxUe1MoejaMA0GCSqGSIb3DQEBCwUAMF0xCzAJBgNV (略) 82PfEtv/CSR4a84Nou2SmhrNcdQ/1H2893tObrj9LDPSy1lVvcC1v2gatdmZ —–END CERTIFICATE—– |
| ファイル | 保存先のディレクトリ(例) |
|---|---|
| 中間認証局証明書+ サーバ証明書ファイル |
/usr/local/ssl/certs/web.cer |
| サーバの秘密鍵ファイル | /usr/local/ssl/private/private.key |
Apacheの設定
(1) Apacheの設定ファイルを変更します。
Apacheの設定ファイル(httpd.confやhttpd-ssl.confなど)をエディタで開き、次のディレクティブのパラメータを変更します。
※各証明書・鍵ファイルの保存先にあわせて、設定内容を変更してください。
【Apache2.4.7以前をご利用の場合】
| 設定内容 | ディレクティブ | パラメータ(例) |
|---|---|---|
| サーバ証明書ファイル | SSLCertificateFile | /usr/local/ssl/certs/web.cer |
| 秘密鍵ファイル | SSLCertificateKeyFile | /usr/local/ssl/certs/private.key |
| 中間認証局証明書ファイル | SSLCertificateChainFile | /usr/local/ssl/certs/chain_ca.cer |
【Apache2.4.8以降をご利用の場合】
| 設定内容 | ディレクティブ | パラメータ(例) |
|---|---|---|
| 中間認証局証明書+ サーバ証明書ファイル |
SSLCertificateFile | /usr/local/ssl/certs/web.cer |
| 秘密鍵ファイル | SSLCertificateKeyFile | /usr/local/ssl/certs/private.key |
| – | SSLCertificateChainFile | コメントアウトする |
(2) Apacheの設定ファイルが正しいか確認します。
次のコマンドを実行し、Apacheの設定ファイルに誤りがないことを確認します。
【Linux系OSの場合】
|
# <Apacheインストールディレクトリ>/bin/httpd -t Syntax ok |
【Windows系OSの場合】
|
※ Apacheがインストールされているディレクトリに移動 > .\bin\httpd -t Syntax ok |
[Syntax ok]と表示されることを確認してください。
pfx形式の証明書ファイルの作成 ※pfx形式の作成が必要な場合のみ
(1) 証明書ファイル(pfx形式)を作成します。
証明書(公開鍵)と秘密鍵で.pfx形式(PKCS12形式)の 証明書ファイルを作成します。
【Linux系OSの場合】
| # openssl pkcs12 -export -inkey <秘密鍵ファイル名> -in <証明書ファイル名> -out <PKCS12ファイル名> |
【Windows系OSの場合】
|
※ コマンドプロンプトで任意のディレクトリに移動し、以下のコマンドを実行します > openssl pkcs12 -export -inkey <秘密鍵ファイル名> -in <証明書ファイル名> -out <PKCS12ファイル名> |
(2) (1)で指定したファイル名で、pfx形式(PKCS12形式)の 証明書ファイルを作成されます。
※作成された証明書ファイルには、セキュリティ上最も重要な情報が含まれています。
かならず、別の媒体にバックアップしてください。また、Webサーバ上にて適切なアクセス権限を付与してください。
メールで送付するなど、外部への流出することがないように充分にご注意ください。
Webサーバの起動 ※パブリックWebサーバ証明書のみ
(1) Apacheを起動します。
Apacheが既に起動している場合は、設定ファイルの変更内容を反映するために一旦 Apacheを停止して再起動します。
【Linux系OSの場合】
|
# <Apacheインストールディレクトリ>/bin/apachectl stop (Apacheの停止) # <Apacheインストールディレクトリ>/bin/apachectl start (Apacheの起動) |
※Apacheのバージョンによっては、apachectl startssl と実行する必要があります。
※ [Enter pass phrase]と表示されたら、秘密鍵の作成時に設定したパスフレーズを入力してください
【Windows系OSの場合】
「Apache Service Monitor」を起動し、「Stop」ボタンを押してApacheを停止してから「Start」ボタンを押して起動します。
(2) SSL接続の確認を行ないます。
ブラウザを起動し、「https:// 」から開始するURLにアクセスして画面が表示されることをご確認ください。
また、下図のようなブラウザの鍵マークのアイコンをクリックし、証明書ファイルが正常に表示されることをご確認ください。
以上で、証明書のインストールは完了です。
証明書・秘密鍵のバックアップ
Webサーバ上に配置した証明書・秘密鍵ファイルは、 Webサーバがなんらかの要因により障害となった場合に証明書・秘密鍵を復旧するために必要となりますので、別の媒体にコピーして保存してください。
また、セキュリティ上最も重要な情報が含まれていますので、メールで送付するなど、外部へ流出することがないように充分にご注意ください。
| ファイル | ファイルの保存ディレクトリ(例) |
|---|---|
| 証明書ファイル | /usr/local/ssl/certs/web.cer |
| 秘密鍵ファイル | /usr/local/ssl/certs/private.key |
