25.6. キーの生成
キーを生成するには root にする必要があります。
まず、cd コマンドを使用して
/etc/httpd/conf/
ディレクトリーに移動します。以下のコマンドを使用して、インストール中に生成されたファクキーと証明書を削除します。
rm ssl.key/server.keyrm ssl.crt/server.crt
次に、独自のランダムなキーを作成します。
/usr/share/ssl/certs/
ディレクトリーに移動し、以下のコマンドを入力します。
make genkey
システムに、以下のようなメッセージが表示されます。
umask 77 ; \ /usr/bin/openssl genrsa -des3 1024 > /etc/httpd/conf/ssl.key/server.key Generating RSA private key, 1024 bit long modulus .......++++++ ................................................................++++++ e is 65537 (0x10001) Enter pass phrase:
これでパスフレーズを入力する必要があります。セキュリティーの理由から、8 文字以上の数字や句読点を含める必要があり、辞書には単語であるべきではありません。また、パスフレーズは大文字と小文字を区別することに注意してください。
備考
セキュアなサーバーを起動するたびに、このパスフレーズを入力する必要があります。このパスフレーズを忘れた場合は、キーが完全に再生成される必要があります。
パスフレーズを再入力して、正しいことを確認します。正しく入力すると、キーを含むファイルである
/etc/httpd/conf/ssl.key/server.key
が作成されます。
安全なサーバーを起動するたびにパスフレーズを入力する必要がない場合は、genkey の代わりに以下の 2 つのコマンドを使用して鍵を作成する必要があります。
以下のコマンドを使用してキーを作成します。
/usr/bin/openssl genrsa 1024 > /etc/httpd/conf/ssl.key/server.key
次に、以下のコマンドを使用してパーミッションがファイルに正しく設定されていることを確認します。
chmod go-rwx /etc/httpd/conf/ssl.key/server.key
上記のコマンドを使用して鍵を作成した後、パスフレーズを使用してセキュアなサーバーを起動する必要はありません。
Warning
セキュアなサーバーのパスフレーズ機能を無効にすると、セキュリティーリスクがあります。セキュアなサーバーのパスフレーズ機能を無効にすることは推奨され ません。
パスフレーズを使用しないことに関連する問題は、ホストマシンで維持されるセキュリティーに直接関係します。たとえば、個々のユーザーがホストマシンの UNIX セキュリティーを危険にさらす場合、そのユーザーが秘密鍵(
server.key
ファイルの内容)を取得できる場合、そのユーザーは秘密鍵を取得できます。このキーは、セキュアなサーバーから表示される Web ページを提供するために使用できます。
UNIX セキュリティープラクティスがホストコンピューターで厳格に維持されている場合(すべてのオペレーティングシステムのパッチと更新が利用可能になるとすぐにインストールされ、不要なサービスやリスクサービスが稼働することはありません)、セキュアなサーバーのパスフレーズが不要な可能性があります。ただし、セキュアなサーバーは非常に頻繁に再起動する必要がないため、パスフレーズの入力により提供される追加のセキュリティーは、ほとんどの場合で重要となります。
server.key
ファイルは、システムの root ユーザーが所有し、他のユーザーがアクセスすることはできません。このファイルのバックアップコピーを作成し、バックアップコピーを安全に安全な場所に保持します。証明書要求を作成した後に server.key
ファイルが失われた場合、証明書は機能せず、CA が役に立つことができないため、バックアップコピーが必要になります。新しい証明書を要求(および課金)することが唯一の選択肢です。
CA から証明書を購入する場合は、「CA に送信する証明書要求の生成」 に進みます。独自の自己署名証明書を生成している場合は、「自己署名証明書の作成」 に進みます。