Apache Mod_SSL / OpenSSLにおける証明書のインストール

ステップ1:証明書をファイルにコピーする

お客さまに対し、Comodoから証明書(yourdomainname.crt)を含んだメールが送付されます。この証明書をテキストエディターで見ると、次のように表示されます。

-----BEGIN CERTIFICATE-----
MIAGCSqGSIb3DQEHAqCAMIACAQExADALBgkqhkiG9w0BBwGggDCCAmowggHXAhAF
UbM77e50M63v1Z2A/5O5MA0GCSqGSIb3DQEOBAUAMF8xCzAJBgNVBAYTAlVTMSAw
(.......)
E+cFEpf0WForA+eRP6XraWw8rTN8102zGrcJgg4P6XVS4l39+l5aCEGGbauLP5W6
K99c42ku3QrlX2+KeDi+xBG2cEIsdSiXeQS/16S36ITclu4AADEAAAAAAAAA
-----END CERTIFICATE-----

証明書を保持するために使用するディレクトリーにこの証明書をコピーしてください。この例では /etc/ssl/crt/ とします。公開鍵ファイルと秘密鍵ファイルの両方がこのディレクトリーにあるとします。この例の秘密鍵はprivate.keyという名前で、公開鍵はyourdomainname.crtです。秘密鍵ファイルのあるディレクトリーはルートのみが読み取れるようにすることをお勧めします。

ステップ2:中間証明書をインストールする

ブラウザーが証明書を信頼するためには、中間CA証明書をインストールする必要があります。中間CA証明書はメールに添付されているzipファイル内のca-bundleファイル(お客さまのSERVERNAME.ca-bundle)に含まれています.。お客さまのサイトの関連Virtual Hostセクションで、このファイルを正確に参照できるようにするために以下を実行する必要があります。

証明書および鍵ファイルと同じディレクトリーにSERVERNAME.ca-bundleファイルをコピーし、任意の名前を付けます。(そのままでかまいません。)

httpd.confのSSLセクションに次の行を追加します(/etc/httpd/conf/ が中間CAファイルをコピーしたディレクトリーとした場合)。この行がすでに存在する場合、以下に書き換えてください。

SSLCertificateChainFile /etc/httpd/conf/SERVERNAME.ca-bundle

例とは異なるパスと中間ファイル名を使用している場合は、パスと中間ファイル名を適切に指定する必要があります。更新されたconfigファイルのSSLセクションは以下のようになります(使用するファイル名、パスによって変わります)。

SSLCertificateFile /etc/ssl/crt/yourdomainname.crt
SSLCertificateKeyFile /etc/ssl/crt/private.key
SSLCertificateChainFile /etc/ssl/crt/SERVERNAME.ca-bundle (名前を変更されている場合には適宣ご変更ください。)

configファイルを保存し、Apacheを再起動します。