2011-12-01

StartSSL で無料の証明書を取得する手順

StartSSL では1年間の SSL 証明書を無料で取得することができる. 取得までの手順の概要を説明する.
  • 秘密鍵の作成
    openssl genrsa -aes256 4096 >key.pem
  • リクエストの作成
    openssl req -new -key key.pem -out request.csr
  • リクエストの送信 (BEGIN, END の行も含めて送る.)
  • 証明書の受信; ウェブインターフェイスに表示される証明書を certificate.pem として保存する.
  • 証明書や中間CA証明書, CA証明書を取得し, 1つのファイルに結合.
    wget https://www.startssl.com/certs/sub.class1.server.ca.pem
    wget https://www.startssl.com/certs/ca.pem
    cat certificate.pem sub.class1.server.ca.pem ca.pem >all.pem
  • (おまけ) 秘密鍵のパスフレーズの解除
    openssl rsa -in key.pem -out keywop.pem
なお, 秘密鍵のパスフレーズをなしにすると, サービスの起動時に毎回パスフレーズを入れなくて良いのでメンテナンスが楽だが, 他人がファイルを奪うことでなりすまされるリスクが生じる.

Dovecotへの設定

RHEL 6 (CentOS 6 も) に付属の dovecot での設定方法を示す.
  • ファイルを dovecot の設定ファイルを置くパスへコピー. 他人にファイルを見られないようにするため, 400 に設定する. なお, 所有者は root でよい. (all.pem は 400 にする必要はない)
    cp all.pem    /etc/pki/dovecot/certs/
    cp keywop.pem /etc/pki/dovecot/private/
    chmod 400 /etc/pki/dovecot/certs/all.pem
    chmod 400 /etc/pki/dovecot/private/keywop.pem
  • dovecot の設定ファイルを更新; /etc/dovecot/conf.d/10-ssl.conf に以下の記述を行う.
    ssl_cert =</etc/pki/dovecot/certs/20121204-kmbk.kamae.org.pem
    ssl_key =</etc/pki/dovecot/private/20121204-kmbk.kamae.org.pem

参考

  • Apache + OpenSSL CSR生成手順
  • 0 件のコメント:

    コメントを投稿