僕の備忘録(PC、UN*X、ネットワーク関連が中心)なんです。
自分の書いたところは適当(な時とか)に書き換えますので御了承を。
opensslの鍵と俺々認証作成。そして内容確認。
# /usr/local/ssl/bin/openssl \ req -new -nodes -out req.pem -keyout cert.pem (ry # /usr/local/ssl/bin/openssl \ genrsa -des3 -out ca.key XXXX # /usr/local/ssl/bin/openssl \ req -new -x509 -days XXX -key ca.key -out ca.crt (ry # /usr/local/ssl/bin/openssl \ req -text -noout -in req.pem (ry # /usr/local/ssl/bin/openssl \ x509 -text -noout -in ca.crt (ry # chmod 400 *
FreeBSDの定本通りに試して、
大体うまくいった(Plamo Linuxだけど)
が、最後にsignature.pemはできなかった。
ぐぐると、サイトによって作成方法がばらばら。
混乱させられただけだった。
鯖に入れることを考えた。
Apache2.xは
バックアップ鯖には入れているものの、
リプレースは考えていない。のでmod_ssl。
どこかで読んだ知見により、apache-1.3.34のビルドしたものは捨てて、
まっさらなアーカイブを解凍しておいた。
サイトの ドキュメント(Module Building)と、 ダウンロードしたアーカイブ(mod_ssl-2.8.25-1.3.34)の INSTALL とはかなり差があった。前者はmod_sslをapacheのsrc/modulesの 下にコピーして一緒くたにmakeせよ、と読めるが ./configure --hogehogeをひねっただけではどうしても スルーされるようだった。で、大体アーカイブ通りにする。
mod_ssl$./configure \ --with-apache=/PATH/TO/apache_1.3.34 \ --with-ssl= /PATH/TO/openssl-0.9.8a apache$ SSL_BASE=/PATH/TO/openssl-0.9.8a \ ./configure \ --with-layout=Apache \ --enable-module=all \ --enable-shared=max apache$ make (ry apache$ make certificate (ry
すべて$?は0になった。
最後にまた鍵作成の対話モードに入った。
同じ入力のあと、challenge password の代りに
PEM pass phrase 入力。で、confディレクトリの下に
妙なファイルがいっぱい。
んで make install は...やりたくても、まだできない。 もう少し待たねば。
make install。
する前に 既存のapache のディレクトリをmvしておいた。htdocsは300MBを越えている。
する前に、ルータをいらって、外からPort80に来たパケットが、バックアップ鯖に
飛ぶようにしておいた。
うっかり # kill -9 `ps aux|awk '{print $2}'` して蒼ざめた。
しかし、デーモンが軒並死んだだけで、カーネルとinitは生きている(らしい)。 シリアルコンソールで
無事にlogin: を見て安堵。ひとつひとつ再起動していった。
古いhttpd.confの設定を追加して、ひとしきりsslと格闘。
Listen等を書き換え、apachectl sslstartにpass phrase入力する。
俺々証明局の設定が良く分らないがetherealで見た限り、暗号化はできているようだ。
旧コンテンツを復元させて、ひといきついた。ルータも元に戻す。
リンクはご自由にどうぞ。でもURLや内容が変った場合はあしからず。