apache+SSL

httpsな環境を作らないといかんようになったので、とりあえず勉強。

apacheでSSL環境を実現するための選択肢は

apache1.3 + Apache-SSL
apache1.3 + mod_ssl
apache2.x + mod_ssl

で、apache2.x系の方がインストールが簡単っぽかったので apache2.x + mod_ssl をセレクト。

資料

SSL用証明書の作成(Linux編)
ベリサインのCSR作成手順

openssl

さくらの専用サーバ（6,800の方）には
CA.pl等が中途半端に無いので、opensslをportsからインストール。

$ cd /usr/ports/security/openssl
$ sudo make install clean

/usr/local/openssl 内諸々のファイルが展開される。
CA.plは /usr/local/openssl/misc に展開された。

元々、さくらのFreeBSDには

/usr/bin/openssl
/etc/ssl/openssl.cnf

の2つが存在し、ごちゃごちゃになっとる。
が、すっきりしたいのでそれぞれシンボリックリンクに変更している。

$ ls -la /usr/bin/openssl
/usr/bin/openssl -> /usr/local/bin/openssl
$ ls -la /etc/ssl/openssl.cnf
/etc/ssl/openssl.cnf -> /usr/local/openssl/openssl.cnf

installなど

apache、mod_ssl、opensslが揃ったのでやっと作業開始。
SSLを構成するものの概念がまだよくわかっとらんのだが、以下の様な感じ。

dev環境では作成したCSRから勝手に証明書を自分で発行して開発します。

CSR

サーバ証明書を発行するための署名要求（Certificate Signing Request）
これをベリサインとかジオトラストとかに提出して、証明書をもらう。
CSR作成時に作られた秘密鍵と発行されたサーバ証明書がユニークなペアになっている。