鍵の生成

まず、インストール時に生成された鍵と証明書を削除する必要があります。/etc/httpd/conf ディレクトリに cd します。

以下のコマンドを使用して 2 つのファイルを削除します。

rm ssl.key/server.key

および

rm ssl.crt/server.crt

証明書を作成するための最初のステップは、独自のランダム鍵を作成することです。以下のコマンドを入力すると鍵が生成されます。

make genkey

以下のようなメッセージが表示されます。

umask 77 ; \
/usr/bin/openssl genrsa -des3 1024 > /etc/httpd/conf/ssl.key/server.key
Generating RSA private key, 1024 bit long modulus
.......++++++
................................................................++++++
e is 65537 (0x10001)
Enter PEM pass phrase:

ここでパスワードを入力する必要があります。安全性を高めるために、パスワードの長さを少なくとも 8 文字とする必要があり、数字や句読点を組み込む必要があり、また辞書に登録された単語とすべきではありません。また、パスワードでは大文字/小文字が区別されることを覚えておいてください。

パスワードが正しいことを確認するために、パスワードを再入力するように要求されます。パスワードを正しく入力すると、server.key という名前の、鍵を含むファイルが作成されます。

Red Hat Linux Secure Web Server の起動時に、毎回パスワードを入力したくない場合には、鍵を生成する際に、make genkey の代わり以下の 2 つのコマンドを使用する必要があります。どちらのコマンドも、完全に一行内に入力する必要があります。

以下のコマンドによって、

/usr/bin/openssl genrsa 1024 > /etc/httpd/conf/ssl.key/server.key

鍵が作成されます。次に以下のコマンドによって、

chmod go-rwx /etc/httpd/conf/ssl.key/server.key 

鍵に関する権限が正しく設定されたことを確認します。

上記のコマンドを使用して鍵を作成した後では、Red Hat Linux Secure Web Server を起動する際にパスワードを使用する必要がなくなります。

パスワードを使用しないことと関連する問題は、ホストマシンのセキュリティと直接に関連します。たとえば、ふとどきなユーザがホストマシンに関する通常の UNIX セキュリティ機能を突破した場合、その人は貴社の秘密鍵 (server.key ファイルの中身) を入手することができるでしょう。この鍵を使用すれば、貴社のサイトから送信されたかのように見える Web ページを偽造することができます。

ほとんどのホストコンピュータが UNIX のセキュリティに関する作法をきちんと守っている (つまり、公開されると同時にすべてのオペレーティングシステムパッチとアップデートデータがインストールされている、不必要または危険度の高いサービスが動いていない、など) ならば、Red Hat Linux Secure Web Server のパスワードは必要ないようにも思えます。ただし、Red Hat Linux Secure Web Server を頻繁に再起動するべきではないので、ほとんどの場合ではパスワードを入力することによって得られる安全性にも価値があるではあります。

システムの root ユーザが server.key ファイルの所有者となるので、他のユーザはこのファイルにアクセスできません。このファイルのバックアップコピーを作成し、そのバックアップを安全な場所に保管してください。server.key ファイルを使用して認定要求を作成した後でこのファイルをなくした場合、証明書が機能しなくなった場合、および CA が貴組織を支援できなくなった場合に、バックアップコピーが必要になります。さもなければ、新しい証明書を要求 (かつ出費する) することしか選択肢がなくなります。

CA から証明書を購入する場合は、the section called 認定要求を作成して CA に送る に進みます。自己署名証明書を作成する場合は、the section called 自己署名証明書の作成 に進みます。