SSLの申請から設定まで
20120116

確認環境
 CentOS6.x
 Rapid SSL
概要
 今では年額1000円前後でありながら、10分程度でSSLが手に入る時代になりました。
 自己署名証明書ではメーラー起動時に警告が出てうっとうしいとの事で、価格の安いRapid SSLを導入します。
〜申請までの作業〜
◆まずは鍵保存ディレクトリを作成
 [root@Server ~]# mkdir key

◆作業ディレクトリに移動
 [root@Server ~]# cd key/

◆鍵保存ディレクトリ作成その2
 [root@Server key]# mkdir ssl ssl/crt ssl/csr ssl/key

◆秘密鍵を作成します。
 [root@Server key]# openssl genrsa -aes256 -out ssl/key/ry.tl.key 4096
Enter pass phrase for ry.tl.key: pasuwa-do(表示されません)
Verifying - Enter pass phrase for ry.tl.key: pasuwa-do(表示されません)

◆パスワードを除去していきます(任意)
 [root@Server key]# mv ssl/key/ry.tl.key ssl/key/ry.tl.key.passwd
→バックアップを念のため作成

 [root@Server key]# openssl rsa -in ssl/key/ry.tl.key.passwd -out ssl/key/ry.tl.key
→パスワード除去

◆提出用のCSR情報を作成します。
 [root@Server key]# openssl req -new -key ssl/key/ry.tl.key -out ssl/csr/ry.tl.csr
Country Name (2 letter code) [AU]:JP
→国コード

State or Province Name (full name) [Some-State]:Osaka
→都道府県

Locality Name (eg, city) [ ]:ry
→市区町村 この辺りから適当に

Organization Name (eg, company) [Internet Widgits Pty Ltd]:
→組織名 入力しなくてもいいです。

Organizational Unit Name (eg, section) [ ]:
→部署名 入力しなくてもいいです。

Common Name (eg, your name or your server's hostname) [ ]:ry.tl
→サーバー名 Wildcard証明書はサブドメインに「*」

Email Address [ ]:
→管理者メールアドレス 入力しなくてもいいです。

Please enter the following 'extra' attributes to be sent with your certificate request A challenge password [ ]:
→不明 入力しなくてもいいです。

An optional company name [ ]:
→不明 入力しなくてもいいです。

◆作成したCSR情報を確認
 [root@Server key]# cat ssl/csr/ry.tl.csr
-----BEGIN CERTIFICATE REQUEST-----
中身
-----END CERTIFICATE REQUEST-----

→以上の情報を申請時に提出します。
〜サーバー証明書が届いてからの処理〜
◆まずはサーバー証明書を作成します。
 [root@Server key]# vi ssl/crt/ry.tl.crt
-----BEGIN CERTIFICATE-----
メールなりで送られてきた物をコピペ
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
一行空けて中間証明書をコピペ(無ければ省略)
-----END CERTIFICATE-----

◆ファイルの権限を変更しておきます。
 [root@Server key]# chmod -R 400 /root/key
◆各種サーバー用設定(サーバー証明書及び秘密鍵ファイルの指定先のみメモ)

Apache
 [root@Server key]# vi /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /root/key/ssl/crt/ry.tl.crt
SSLCertificateKeyFile /root/key/ssl/key/ry.tl.key

Postfix
 [root@Server key]# vi /etc/postfix/main.cf
smtpd_tls_cert_file = /root/key/ssl/crt/ry.tl.crt
smtpd_tls_key_file = /root/key/ssl/key/ry.tl.key

Dovecot
 [root@Server key]# vi /etc/dovecot/conf.d/10-ssl.conf
ssl_cert = </root/key/ssl/crt/ry.tl.crt
ssl_key = </root/key/ssl/key/ry.tl.key