FreeCAでデジタル証明書を取得

FreeCAでWebサーバーのデジタル証明書を取得する

• FreeCA Serverにアクセスし、デジタル証明書を取得する。 証明書の発行申込には、URLとメールアドレスが必要です。

• 「FreeCAサーバー証明書発行窓口」へ行く。 必要な情報を入力すると、PKCS#12形式のデジタル証明書「loadcert.p12」を保存するダイアログが表示されます。保存してください。

• 「loadcert.pl12」からapacheで使用できる形式に変更する この中には、

  • サーバの証明書

  • サーバ証明書用の秘密鍵

  • FreeCAのCA証明書 の３つが納められています。 これを取り出すためには、opensslを使用します。コマンドは以下のとおりです。

    $ openssl pkcs12 -in loadcert.p12 -out certs.txt 
    Enter Import Password:（ここにはFreeCAから証明書を取得するときに設定したパスワードを入力します）
    MAC verified OK 
    Enter PEM pass phrase:（ここには秘密鍵を暗号化するパスワードを入力します。このパスワードは以後のサーバ起動時に使用します。）
    Verifying password - Enter PEM pass phrase:（再度パスワードを入力します）
    

• 2つの証明書と1つの秘密鍵を取り出す。 cert.txtをコピーし証明書と秘密鍵を取り出します。

    $ cp certs.txt server.crt       サーバの証明書
    $ cp certs.txt ca.crt           CA証明書
    $ cp certs.txt server.key       秘密鍵
  

• サーバの証明書は、最初の

  —–BEGIN CERTIFICATE—– から —–END CERTIFICATE—–

  まで。

• CA証明書は、次の

  —–BEGIN CERTIFICATE—– から —–END CERTIFICATE—–

  まで。

• 秘密鍵は、最後の

  —–BEGIN RSA PRIVATE KEY—– から —–END RSA PRIVATE KEY—–

  まで。

おまけ

このままでは、apache起動時にパスフレーズを聞かれるため、自動起動できない。そこで、秘密鍵をRSAに変換する。

  # mv server.key server.key.back
  # openssl rsa -in server.key.back -out server.key

これで、起動時にパスフレーズを聞かれなくなる。