FreeCAでデジタル証明書を取得

• FreeCAでWebサーバーのデジタル証明書を取得する
• おまけ

FreeCAでWebサーバーのデジタル証明書を取得する _

• FreeCA Serverにアクセスし、デジタル証明書を取得する。

  証明書の発行申込には、URLとメールアドレスが必要です。

• 「FreeCAサーバー証明書発行窓口」へ行く。

  必要な情報を入力すると、PKCS#12形式のデジタル証明書「loadcert.p12」を保存するダイアログが表示されます。保存してください。

• 「loadcert.pl12」からapacheで使用できる形式に変更する

  この中には、

  • サーバの証明書
  • サーバ証明書用の秘密鍵
  • FreeCAのCA証明書

  の３つが納められています。 これを取り出すためには、opensslを使用します。コマンドは以下のとおりです。

   $ openssl pkcs12 -in loadcert.p12 -out certs.txt 
   Enter Import Password:（ここにはFreeCAから証明書を取得するときに設定したパスワードを入力します）
   MAC verified OK 
   Enter PEM pass phrase:（ここには秘密鍵を暗号化するパスワードを入力します。このパスワードは以後のサーバ起動時に使用します。）
   Verifying password - Enter PEM pass phrase:（再度パスワードを入力します）
  

• 2つの証明書と1つの秘密鍵を取り出す。

  cert.txtをコピーし証明書と秘密鍵を取り出します。

   $ cp certs.txt server.crt       サーバの証明書
   $ cp certs.txt ca.crt           CA証明書
   $ cp certs.txt server.key       秘密鍵
  

• サーバの証明書は、最初の

  -----BEGIN CERTIFICATE----- 
  から 
  -----END CERTIFICATE----- 
  

  まで。

• CA証明書は、次の

  -----BEGIN CERTIFICATE----- 
  から 
  -----END CERTIFICATE----- 
  

  まで。

• 秘密鍵は、最後の

  -----BEGIN RSA PRIVATE KEY----- 
  から 
  -----END RSA PRIVATE KEY----- 
  

  まで。

おまけ _

このままでは、apache起動時にパスフレーズを聞かれるため、自動起動できない。そこで、秘密鍵をRSAに変換する。

 # mv server.key server.key.back
 # openssl rsa -in server.key.back -out server.key

これで、起動時にパスフレーズを聞かれなくなる。