Apache+OpenSSL:SSLサーバ証明書の設定[スタンダード]

設定するFQDN(コモンネーム)が1つであるスタンダードタイプのSSLサーバ証明書の設定手順をご案内します。

1枚のSSLサーバ証明書を複数のサイトで利用するマルチタイプのSSLサーバ証明書を設定は以下のページをご覧ください。

Apache+OpenSSL:SSLサーバ証明書の設定[ワイルドカード・マルチドメインタイプ]

構成例

秘密鍵の保存ディレクトリ /etc/pki/tls/private/
SSLサーバ証明書の保存ディレクトリ /etc/pki/tls/certs/
SSLの設定ファイル /etc/httpd/conf.d/ssl.conf

※Apacheのバージョンや環境によってパスやディレクトリ名、ファイル名などが異なる場合があります。お客様の環境に合わせて設定してください。

設定手順

  1. 送付したSSLサーバ証明書と中間証明書を、SSLサーバ証明書の保存ディレクトリに保存してください。

    ※設定済みのSSLサーバ証明書を上書きしないようご注意ください。

  2. サーバにログインして/etc/pki/tls/に移動してください。
    # cd /etc/pki/tls/
  3. 保存したSSLサーバ証明書を、root権限のみで読めるようにアクセス権と所有権を変更します。
    # chmod 400 SSLサーバ証明書の保存ディレクトリ/SSLサーバ証明書のファイル名
    # chmod 400 SSLサーバ証明書の保存ディレクトリ/中間証明書のファイル名
    # chown root:root SSLサーバ証明書の保存ディレクトリ/SSLサーバ証明書のファイル名
    # chown root:root SSLサーバ証明書の保存ディレクトリ/中間証明書のファイル名
    
    # chmod 400 certs/example_com.crt
    # chmod 400 certs/example_com.ca-bundle
    # chown root:root certs/example_com.crt
    # chown root:root certs/example_com.ca-bundle
    
  4. 続いて、SSLの設定ファイルをvi等のエディタで開いてください。
    # vi SSLの設定ファイル
    
    # vi /etc/httpd/conf.d/ssl.conf
  5. 該当する項目を編集します。秘密鍵ファイル、SSLサーバ証明書ファイル、中間証明書ファイルを指定してください。
    SSLCertificateFile SSLサーバ証明書ファイルを指定します。
    SSLCertificateKeyFile SSLサーバ証明書とペアになる秘密鍵を指定します。
    SSLCertificateChainFile CSPSSLの中間証明書ファイルを指定します。
    SSLCertificateFile SSLサーバ証明書の保存ディレクトリ/SSLサーバ証明書のファイル名
    SSLCertificateKeyFile 秘密鍵の保存ディレクトリ/秘密鍵のファイル名
    SSLCertificateChainFile 中間証明書の保存ディレクトリ/中間証明書のファイル名
    
    SSLCertificateFile /etc/pki/tls/certs/example_com.crt
    SSLCertificateKeyFile /etc/pki/tls/private/example_com.key
    SSLCertificateChainFile /etc/pki/tls/certs/example_com.ca-bundle

    SSLCertificateChainFileディレクティブがなく(Apacheのバージョンにより対応していない等)中間証明書が指定できない場合は、SSLサーバ証明書と中間証明書を結合したファイルをSSLCertificateFileディレクティブに指定してください。

    
    #cat certs/example_com.crt certs/example_com.ca-bundle > certs/example_com_combined.crt
    #vi /etc/httpd/conf.d/ssl.conf
    
    ---									
    SSLCertificateFile /etc/pki/tls/certs/example_com_combined.crt
    SSLCertificateKeyFile /etc/pki/tls/private/example_com.key

    キーペアが不明

    SSLサーバ証明書と対になる秘密鍵が不明の場合は、下記ページでキーペアを確認してください。

    Apache + OpenSSL:キーペアの確認

  6. httpd -tもしくはapachectl configtestで設定ファイルの構文チェックを行ってください。
    # httpd -t
    Syntax OK

    ※ 設定ファイルの文法的なエラーをチェックするのみで、設定内容のチェックは行いません。Syntax OKと表示しても正常に動作しない場合がありますのでご注意ください。

  7. Apacheを再起動して設定を反映させてください。
    # service httpd restart
    httpd を停止中: [ OK ]
    httpd を起動中: [ OK ]
    サービスの停止が難しい場合はgracefulオプションを指定して設定を反映させてください。
    # service httpd graceful
  8. 以上で設定は完了です。SSL通信に問題がないか、証明書の有効期限が更新されているか等を確認してください。
    サイトシールを設定する場合は下記ページをご覧ください。

    サイトシールの設置

Apache関連情報

Apache

ページの先頭に戻る

  1. ホーム
  2. サポート
  3. マニュアル
  4. Apache + OpenSSL
  5. SSLサーバ証明書の設定