ECC版SSL証明書インストール体験記その4
では、いよいよ発行されたECC証明書をインストールしましょう!
実はECC版SSL証明書は現在、ブラウザ・OSによっては対応していないものも多いので、
対応していないものはRSAの証明書を読むように、ECCとRSAのハイブリッド構成をすることが出来ます。
そしてなんと、ECCの証明書を申請するとRSAの証明書も一緒にもらうことが出来ます(ベリサインさん太っ腹!)
なので今回はECCとRSAのハイブリッド構成を組みつつ証明書のインストールを行います!
まずはベリサインのサイトで中間証明書を確認しましょう。
発行されたCRT、中間証明書、秘密鍵は必ず対になっている必要があります。
対になっていないとエラーになってしまいます。。
小悪魔ブログは最初、中間証明書間違いをしてエラーになってしまってました。。
(みなさんもキヲツケテ!)
———————————-
– グローバル・サーバID EV (ECC対応版) 専用 中間CA証明書
https://www.verisign.co.jp/repository/intermediate/server/ev_pro_ecc.html
– グローバル・サーバID EV (RSA用) 中間CA証明書
https://www.verisign.co.jp/repository/intermediate/server/ev_pro.html
———————————-
それぞれECC用とRSA用とあるので注意です!
すべての鍵がでそろったところでサーバに証明書を設置しましょう。
鍵はECCとRSA、それぞれ準備する必要がありますよ。
———————————-
# cd /usr/local/ssl/
# vim ecc_ssl.crt
# vim rsa_ssl.crt
– CRTを設置
# vim ecc_ssl.key
# vim rsa_ssl.key
– 秘密鍵を設置
# vim ecc_ca.crt
# vim rsa_ca.crt
– 中間証明書を設置
———————————-
設置が完了した所で、鍵の置き場はここだよ〜というのをconfファイルに書き込みます。
ここで!apacheの設定のときに、httpd.confに↓この文章をアンコメントしましたよねっ
———————————-
# cd /usr/local/apache2.4/conf/
# less httpd.conf
—————
478 Include conf/extra/httpd-ssl.conf
—————
# cd conf/extra/
# vim httpd-ssl.conf
————————————————-
なので鍵の置き場はhttpd.confではなく、httpd-ssl.confに記入しますっ
————-
48: SSLProtocol all -SSLv2
53: SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!ADH
66: SSLHonorCipherOrder off
89: ServerName kmonos.jp:443
108: SSLCertificateFile “/usr/local/ssl/ecc_ssl.crt”
109: SSLCertificateFile “/usr/local/ssl/rsa_ssl.crt”
119: SSLCertificateKeyFile “/usr/local/ssl/ecc_ssl.key”
120: SSLCertificateKeyFile “/usr/local/ssl/rsa_ssl.key”
131: SSLCertificateChainFile “/usr/local/ssl/ecc_ca.crt”
132: SSLCertificateChainFile “/usr/local/ssl/rsa_ca.crt”
————-
confファイルに書き込むSSLCertificateFile 等は通常は一つですが、
ハイブリッド構成の時はECCとRSAの2つを記入して行きます。
書き終わりましたか?では、最後にapacheの再起動を行いましょう〜!
————-
# cd /usr/local/apache2.4/bin
# ./apachectl stop
# ./apachectl start
————-
これにて設定完了ですっ(お疲れ様でした〜 ! )
実は、ECC証明書のお話をベリサインさんから頂いたあと、
こあくまには難しすぎたので色んな人にほぼ色々やってもらっちゃってました笑
(こあくま周りでモタモタしていただけでした。。すみません。。)
でも、みなさん口を揃えて言っていた、「設定の方法はRSAの時とそんなにかわらないから難しくない。
でも事例がなさすぎて果たしてこれで合ってるのか!?がわからないのが大変。」…は
こあくまもブログを書くにあたり実際に勉強してみて、すごく実感しました。。
また、実はECC証明書、まだ対応が進んでおらず、
OSやブラウザによってはエラーが出てしまったりもするそう。
※今後の対応状況最新版は下記のURLをご確認ください!
——————-
https://www.verisign.co.jp/ssl/about/client-ecc-dsa.html
——————-
でも、CSRの作成の時やインストール完了時は本当に感動!
より短い鍵のECCが広まる為にも、はやく対応が進むといいですねっ
Comments: 0