すでに鍵と証明書を保有している場合(たとえば、他社のセキュアWebサーバー製品に代えてセキュアWebサーバーをインストールする場合)、セキュアWebサーバーにおいてもおそらく既存の鍵と証明書を使用できます。ただし、次のような状況では、既存の鍵と証明書を使用することはできません。
自分のIPアドレスまたはドメイン名を変更する場合—自分のIPアドレスまたはドメイン名を変更する場合、古い鍵と証明書は使用できません。証明書は特定のIPアドレスとドメイン名の組に対して発行されます。したがって、IPアドレスまたはドメイン名を変更する場合は、新しい証明書を取得する必要があります。
VeriSignからの証明書を保有していて、サーバーソフトウェアを変更する場合—VeriSignは広く使用されているCAです。別の目的ですでにVeriSign証明書を取得している場合、新しいセキュアWebサーバーにおいても既存のVeriSign証明書を使用することを考えるかもしれませんが、これは許されません。VeriSignの証明書は、特定のサーバーソフトウェアとIPアドレス/ドメイン名の組み合わせに対して発行されるものであるからです。
これらの要素のいずれかを変更する場合(たとえば、過去に別のセキュアWebサーバー製品を使用したことがあり、今後はこのセキュアWebサーバーの使用を考えている場合)、以前の設定で使用するために取得したVeriSign証明書は、新しい設定では機能しません。新しい証明書を取得する必要があります。
既存の鍵と証明書が利用可能である場合は、新しい鍵を生成して新たに証明書を取得する必要はありません。ただし、鍵と証明書が含まれているファイルを移動し、名前を変更しなければならない場合があります。
既存の鍵ファイルは次の場所に移動します。
/etc/httpd/conf/ssl.key/server.key |
既存の証明書ファイルは次の場所に移動します。
/etc/httpd/conf/ssl.crt/server.crt |
鍵と証明書を移動したら、証明書のテスト項へ進みます。
Red HatセキュアWebサーバーのバージョン1.0または2.0からアップグレードする場合は、古い鍵(httpsd.key)と証明書(httpsd.crt)は/etc/httpd/conf/に保存されているはずです。セキュアWebサーバーが使用できるようにするには、鍵と証明書を移動して名前を変更する必要があります。次の2つのコマンドを使用して、鍵と証明書のファイルを移動し、名前を変更します。
mv /etc/httpd/conf/httpsd.key /etc/httpd/conf/ssl.key/server.key mv /etc/httpd/conf/httpsd.crt /etc/httpd/conf/ssl.crt/server.crt |
その後で、次のコマンドを実行してセキュアWebサーバー起動します。
/sbin/service httpd start |
以前のバージョンのセキュアWebサーバーからアップグレードする場合は、新しい証明書を取得する必要はありません。