おのたく日記 YouTubeも始めました→
2005-09-16(Fri) [長年日記]
■ [Security] sslwrapもCAcertのサーバー証明書に変更する
imaps,pop3sなども、3月5日の日記で作ったapache-sslと同じサーバ証明書で良いので、
# cd /etc/sslwrap
# cat /etc/apache-ssl/private.key /etc/apache-ssl/server.crt > server.pem
# chgrp sslwrap server.pem
# chmod 640 server.pem
で作る。プライベートキーとサーバ証明書を一つのファイルにするのがミソ
■ [Security] サーバ証明書の内容確認
CAにサーバー証明書を作ってもらうと
# more ca.crt
-----BEGIN CERTIFICATE-----
DjAMBgNVBAgTBVRva3lvMRIwEAYDVQQHEwlNaW5hdG8ta3UxGDAWBgNVBAoTD05F
...
という感じになる。内容の確認は
# ./openssl asn1parse -in ca.crt
で出来る。
IEでは、PEM形式は受け付けないのでDER形式に変更する
x# ./openssl x509 -inform PEM -outform DER -in ca.crt -out ca.der
読み込ませるには、.htaccessに
application/x-x509-ca-cert der
を忘れずにね。
■ [Security] CAcertの日本版? CACAnet Fukuoka
日本名は「電子認証局市民ネットワーク福岡」というNPOで2003年くらいから活動しているらしい。
個人だと入会金10,000円(max)と年会費5,000円(入会年は無料)でデジタル証明書を発行してくれる。
ただ、「東京研究会」のページとかみると一年半以上更新されていないし、コメントSPAMに侵されているし、ちょっと怪しげ。
やっぱり、FirefoxにCA証明書を載せるように活動していて無料のCAcertの方が安心かな。
CACertからサーバー証明書の期限切れのお知らせが来たので、更新する。 CACertのWebに行ってサーバー証明書の更新を押して出てくる証明書を # cat - >/etc/apache-ssl/server.crt して、/etc/init.d/apache-ssl restartした。 20050916#p01に書いたようにsslwrapも同じサ..
|