prasinos' work memo

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

クライアントとして動くopensslにCA証明書をインストールする

オレオレ証明書作成の手引きばかりで、すごく探しにくい!

やりたかったことは、wget に --ca-certificate オプションをつけなくても StartSSL の CA を認識させたいということ。
ちなみに作業環境は CentOS5.
すでに ca.pem が /etc/pki/tls/certs いかにあるのに認識しないのはどういうことかというと、s_client(1), verify(1) によればそのディレクトリがハッシュフォーマットでなければならんのだとか。
どういうことかというと certs/ の下で ln -s ca.pem 33815e15.0 とかしてハッシュ数値に .0 をつけた名前のシンボリックリンクを張る必要があるのだと。ここでハッシュ値は openssl x509 -hash -noout -in ca.pem として求める。
スポンサーサイト

SSL 設定

思うところあって VPS を借りてみた。
FC2 さんも安く出してるし。


なぜというに、オレオレじゃない SSL をやってみたかったというのがある。
で、FC2 さんにお願いしたいんだけど... ちょっと高いので、
StartSSL というところが無料で作ってくれるというのをやってみました。
http://hdmr.org/d/?e=617
とか
http://futuremix.org/2009/02/startssl
とか解説あり。


で、びっくりしたのは StartSSL は発行した証明書が 20 分経っても https サーバにインストールしてもらえない場合、手引きの URL を書いたメールを送ってくるのだ。ありがたや。


メモ。


  • /etc/pki/tls/certs/ca.pem ルート認証局の証明書

  • /etc/pki/tls/certs/sub.class1.server.ca.pem 中間認証局の証明書

  • /etc/pki/tls/certs/ssl.crt 自局の証明書

  • /etc/pki/tls/private/ssl.key 自局の秘密鍵




ところで、自サイトの https のルート認証局を wget が知らないといいやがる。 openssl にも教え込んでやる必要があるのだろうが、どうやるのかわからない。

FC2Ad

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。