https://独自ドメイン/(SSL化)へのメモ

はじめに


昨今、Google Chromeがhttps://独自ドメインでない場合赤色の警告マークがでるようになった。これに対応するには、
SSL証明書をサーバーに組み込まねばならない。私の自宅サーバーに、さくらインタネットSSL証明書(972円・年)を購入した。
購入から自宅サーバー(xmod60.mydns.jp)にSSL証明書を組み込むまでの手順を整理した。

SSL証明書の申し込み

OpenSSL による CSRの作成について

opensslコマンドによる キーペア(秘密鍵)とCSRの作成例は次のようになります。

キーペア(秘密鍵)の作成

$ openssl genrsa -des3 2048 > server.key

(server.key として 2048bitの秘密鍵が生成されます)

このキーペア(秘密鍵)を元にしたCSRの作成

$ openssl req -new -key server.key -out server.csr -sha256

(server.csr として CSRが出力されます)

キーペア(秘密鍵)にパスフレーズを埋め込む

$ openssl rsa < server.key > server_withpass.key

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

SSL証明書の自宅サーバーへの組み込み

自宅サーバーはLinux (Debian 8)で、configファイルのdefault-ssl.confで以下を設定します。 
  ① サーバー証明書   SSLCertificateFile      /etc/apache2/ssl2018/server2018.10.crt
  ② サーバーキー    SSLCertificateKeyFile /etc/apache2/ssl2018/server2018.10.key
  ③ サーバー中間証明書 SSLCertificateChainFile /etc/apache2/ssl2018/ica2018.10.crt

確認

https://www.xmod60.mydns.jp/~shino/ssl.html

独自ドメインの入手

独自ドメインは、it-shino.comとしてさくらインターネット から購入した(1852円/年)。

実際は、このドメインのSSL証明書を作成しなおさねばいけないが、今回のメモは原理実験てきになりました。いずれ、このドメインの証明書を購入予定です。

そして、DNSサーバーは、無料のwww.mydns.jpを利用した。

Kunitake Shinohara
Rev 01 2018.10.29