_ 証明書

夜中に申し込むと、4時間ぐらいで発行される。

4年で1,000円弱/年はお安いわ。

csr作成時に2,048ビットにしてみた。

早速Apacheとsendmailに設定。

Apacheの場合、

SSLCertificateFile /home/www/conf/cert/ほげほげ.crt（入手した証明書）
SSLCertificateKeyFile /home/www/conf/cert/ほげほげ.key（パスを取っ払った鍵）
SSLCertificateChainFile /home/www/conf/cert/ほげほげ_CA.crt
（証明書発行時に供給された中間証明書）

_ という感じ。

_ 忘れずに

「ln -s ほげほげ_CA.crt `openssl x509 -noout -hash -inform pem -in ほげほげ_CA.crt`.0」

で、リンク作成しておかないと中間証明書は読んでくれない。

オレオレ証明書の時は、自己署名だったので中間証明書の意味が無かったけど、今回は設定することでGeoTrustまでつながる。

あとは、httpsで来たらCNとリクエストが一致するように「daemon5.uekusa-.com.com」にrewiteするようにhttpd.confと.htaccessを変更。

RewriteEngine On
RewriteCond %{HTTPS} on
RewriteCond %{HTTP_HOST} !daemon5.uekusa-com.com
RewriteRule (.*)?$ https://daemon5.uekusa-com.com%{REQUEST_URI} [R=301,L]

_ 強制的にhttpsにしたいページはこんな感じ。

RewriteCond %{HTTPS} off
RewriteRule (.*)?$ https://daemon5.uekusa-com.com%{REQUEST_URI} [R=301,L]
RewriteCond %{HTTPS} on
RewriteCond %{HTTP_HOST} !daemon5.uekusa-com.com
RewriteRule (.*)?$ https://daemon5.uekusa-com.com%{REQUEST_URI} [R=301,L]

_ sendmail

こっちは、ベリサインとか、このへん参考に。

Apache同様に中間証明のリンクも作成しておく。

だけど、中間証明は「openssl s_client -connect 鯖のアドレス:465 -CAfile GeoTrustの証明」では検証が失敗する。

どうやら、RapidSSLからメールで送られてきた中間証明じゃなくてRapidSSLとGeoTrustの関係を証明する部分も含んでいる必要があった。

RapidSSLのこのへんの「RapidSSL CA Bundle」を入手。

一応検証おｋ。

但し、今のところ「verify=OK」になる相手もおらず寂しい感じ。

まだ何か設定が足りないのかも。

sendmail.cfは↓

# CA directory
O CACertPath=/etc/mail/cert
# CA file
O CACertFile=/etc/mail/cert/ほげほげ_CA-RapidSSL.crt
# Server Cert
O ServerCertFile=/etc/mail/cert/ほげほげ.crt
# Server private key
O ServerKeyFile=/etc/mail/cert/ほげほげ.key
# Client Cert
O ClientCertFile=/etc/mail/cert/ほげほげ.crt
# Client private key
O ClientKeyFile=/etc/mail/cert/ほげほげ.key

_ ( ゜Д゜)ネムヒー

そんなこんなで、寝るの忘れていじくり回してた。

眠いわ！ｗ