● HTTPS install 手順 ● 1996.9.26 hhat@isc.meiji.ac.jp (1) SSLeayのインストール オリジナルファイル: ftp://ftp.psy.uq.oz.au/pub/Crypto/SSL/SSLeay-0.6.4.tar.gz (アーカイブをホームディレクトリ(/home/hhat)に展開) % ./Configure sunos-cc % make % vi Makefile , INSTALLTOP=/usr/local/ssl ↓ INSTALLTOP=/home/hhat/ssl % make install (2) apache+SSLのインストール オリジナルファイル: apache_1.1.1; ftp://www.apache.org/apache/dist apache_1.1.1+1.3.ssl; ftp://ftp.ox.ac.uk/pub/crypto/SSL (アーカイブをホームディレクトリ(/home/hhat)に展開) % gzip -cd ~/apache_1.1.1.tar.gz | tar xvf - % cd apache_1.1.1 % gzip -cd ~/apache_1.1.1+1.3.ssl.tar.gz | tar xvf - % patch < SSLpatch % cd src % cp Configuration.tmpl Configuration % vi Configuration -------------------------------------------------------- (修正箇所) SSL_INCLUDE= -I/home/hhat/ssl/include SSL_CFLAGS= -DAPACHE_SSL $(SSL_INCLUDE) SSL_LIB_DIR= /home/hhat/SSLeay-0.6.4 SSL_LIBS= -L$(SSL_LIB_DIR) -lssl -lcrypto AUX_CFLAGS= -DSUNOS4 -------------------------------------------------------- % Configure % make httpsd (3) 鍵と自己署名の証明書を生成 (GNU ln をインストールしていない場合は、Makefile の63行目付近の ln -sf ../SSLconf/conf/httpsd.pem ../SSL ..... を ln -s ../SSLconf/conf/httpsd.pem ../SSL ..... に書き換える) % make certificate : Country Name (2 letter code) [AU]: JP State or Province Name (full name) [Queensland]:Tokyo Locality Name (eg, city) []:Minato-ku Organization Name (eg, company) [Mincom Pty Ltd]:ICAT Organizational Unit Name (eg, section) [MTR]:www.icat.or.jp Common Name (eg, YOUR name) []:webmaster@icat.or.jp Email Address []:webmaster@icat.or.jp ・作成されるファイル /home/hhat/apache_1.1.1/SSLconf/conf/httpsd.pem -----BEGIN RSA PRIVATE KEY----- (秘密鍵) -----END RSA PRIVATE KEY----- -----BEGIN CERTIFICATE----- (serial No.=0 の自己署名形式の証明書ができる) -----END CERTIFICATE----- (実際に作成されたファイル) (4) CA局による証明書の発行 今回は、pilot CA より証明書を発行してもらった。 ・n は、 (serial No.=0 の自己署名形式の証明書)から peek -p で調べる。 L = 512 N =d24932ea19122c0d31ce891ca0ffe4497dbee789e8ca41f9ec96ea8a95 1239cb381e923393152402b6ad70e8e7e89428b3c0f734100c12d37f2a683801aca5c9 E = 10001 ・DN は C=jp O=Pilot-CA OU=ICAT CN=www.icat.or.jp CN=ホスト名 (www.icat.or.jp等)でなければならないようだ。 (5) 証明書の(httpsdサーバへの)組み込み /home/hhat/apache_1.1.1/SSLconf/conf/httpsd.pem -----BEGIN RSA PRIVATE KEY----- (秘密鍵) -----END RSA PRIVATE KEY----- -----BEGIN CERTIFICATE----- (ICATが発行した証明書) -----END CERTIFICATE----- (実際に作成したファイル) (6) httpsd 関連のコンフィグレーションファイルの設定 /home/hhat/apache_1.1.1/SSLconf/conf/srm.conf /home/hhat/apache_1.1.1/SSLconf/conf/mime.types /home/hhat/apache_1.1.1/SSLconf/conf/httpd.conf /home/hhat/apache_1.1.1/SSLconf/conf/access.conf (いずれも /home/hhat/apache_1.1.1/conf/* を参考に編集) % vi httpd.conf -------------------------------------------------------- (修正箇所) DocumentRoot /usr/local/etc/httpd/htdocs Port 8888 User hhat Group staff ServerAdmin webmaster@icat.or.jp ServerRoot /home/hhat/apache_1.1.1 ServerName www.icat.or.jp #SSLDisable SSLCACertificatePath /home/hhat/apache_1.1.1/SSLconf/conf SSLCACertificateFile /home/hhat/apache_1.1.1/SSLconf/conf/httpsd.pem SSLCertificateFile /home/hhat/apache_1.1.1/SSLconf/conf/httpsd.pem SSLCertificateKeyFile /home/hhat/apache_1.1.1/SSLconf/conf/httpsd.pem SSLLogFile /home/hhat/apache_1.1.1/logs/ssl.log -------------------------------------------------------- /home/hhat/apache_1.1.1/conf/srm.conf srm.conf % vi httpd.conf -------------------------------------------------------- (修正箇所) ScriptAlias /cgi-bin/ /usr/local/etc/httpd/cgi-bin/ -------------------------------------------------------- access.conf, mime.types は変更なし。 (7) httpsd の起動 /home/hhat/apache_1.1.1/src/httpsd -f /home/hhat/apache_1.1.1/SSLconf/conf/httpd.conf (8) テスト netscape https://www.icat.or.jp:8888/index.html