No.176

オレオレ証明書量産化計画

　仮想環境を自分で構築したならいいのだが、他人が構築した環境を使うことがある。その時に結構トラブルになるのがサーバー証明書。
　仮想環境での開発なので当然オレオレ証明書なのだが、作成を適当にやっていると有効期限が切れてしまっていたりすることがある。

　何が問題になるかというと、FireFoxやIEは証明書の期限が切れていると例外的にアクセスすることすら許してくれなくなっちゃうのだ。これはドキュメントにも明記はないのでちょっと原因解明にはまってしまった…

　まあ、嘆くのは置いといてさっさとオレオレ証明書を発行してしまおう。

手順

　下記のファイル名はssl.confに下記の用に記述されている前提。自分の環境に合わせて適宜読み換えていただきたい。

SSLCertificateFile /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile /etc/pki/tls/private/localhost.key

　下記の順にコマンドを実行する。
　確認内容は全部適当でいい。パスフレーズも認証情報も全部リターンを押してしまおう。どうせ仮想環境なので気にしなくていいでしょ。

openssl genrsa 2048 > localhost.key
openssl req -new -key localhost.key > localhost.csr
openssl x509 -days 3650 -req -signkey localhost.key < localhost.csr > localhost.crt

　証明書を作成したら下記のコマンドでファイルを設置してパーミッションの設定を行う。

yes | cp -a localhost.key /etc/pki/tls/private/localhost.key
chmod 600 /etc/pki/tls/private/localhost.key
rm localhost.key
yes | cp -a localhost.crt /etc/pki/tls/certs/localhost.crt
chmod 600 /etc/pki/tls/certs/localhost.crt
rm localhost.crt

　あとはhttpdを再起動すればOK。

service httpd restart