011-596-6358

対応時間:平日 10:00~17:00

lighttpd + OpenSSL サーバ証明書インストール方法

1. はじめに

lighttpd + OpenSSL 環境下での、SSLサーバ証明書インストール手順を以下に説明します。

大まかな手順は、以下のとおりです。

  1. 証明書のダウンロードとインストール準備
  2. 環境設定と動作確認
  3. 秘密鍵と証明書のバックアップ

ディレクトリ等は、セットアップされる環境に合わせて読み替えてください。

2. 証明書のダウンロードとインストール準備

管理アカウントからお客様のサーバ証明書と中間CA証明書をダウンロードします。

2.1 お客様のサーバ証明書のダウンロードと保存

管理アカウントからお客様のサーバ証明書をダウンロードし、名前をつけて保存します。
仮にファイル名は YOURSERVER.crt とします。

2.2 中間CA証明書のダウンロードと保存

SSLサーバ証明書を使用するには、中間CA証明書が必要になります。
管理アカウントから中間CA証明書をダウンロードします。
※ダウンロード方法は、こちらをご参照ください。
インストールすべき中間CA証明書は以下の通りです。


購入証明書 種別 中間CA証明書
Enterprise SSL(SHA-256) CrossTrustOVCA5.crt (2018年11月01日〜)
CrossTrustOVCA4.crt (2018年04月25日〜2018年10月31日)
CrossTrustOVCA3.crt (〜2018年04月24日)
Crypto SSL (SHA-256) CrossTrustDVCA5.crt (2018年11月01日〜)
CrossTrustDVCA4.crt (2018年04月25日〜2018年10月31日)
CrossTrustDVCA3.crt (〜2018年04月24日)
Enterprise SSL(SHA-1) CrossTrustOVCA1.crt
Crypto SSL (SHA-1) CrossTrustDVCA1.crt
Enterprise SSL UTNAddTrustServerCA.crt

ダウンロードした中間CA証明書のファイル名を仮に YOURSERVER.ca-bundle へと変更します。

◆◆Enterprise SSL for mobileご利用のお客様 ご注意ください◆◆
※有効期間の開始日が2010年7月11日以前と以降で中間CA証明書が切り替わっております。有効期間の開始日により必要な中間CA証明書が異なりますのでご注意ください。

関連リンク

3. 環境設定と動作確認

環境設定ファイルを書き換え、必要なファイルをコピーし、動作確認を行います。
注:ファイルの内容を書き換える前に、バックアップを取っておくことをお勧めします。

3.1 ファイルのコピー

2 でダウンロードしたお客様のサーバ証明書(YOURSERVER.crt)と、中間CA証明書(YOURSERVER.ca-bundle)を、設定ファイルのあるディレクトリにコピーします。

# cp YOURSERVER.crt YOURSERVER.ca-bundle /etc/lighttpd

コピーしたディレクトリへ移動して秘密鍵と証明書を合わせたファイルを作成します。

# cd /etc/lighttpd
# cat YOURSERVER.crt YOURSERVER.key > YOURSERVER.pem

 

3.2 lighttpd.conf の設定

lighttpd.confの設定を書き換えます。以下に例を示しますが、実際の環境に読み替えてください。

# vi /etc/lighttpd/lighttpd.conf

3.1.1 証明書ファイルの指定

上記で開いたファイルに以下の内容を追加します、お客様のサーバ証明書と秘密鍵を合わせたファイル(YOURSERVER.pem)、中間CA証明書(YOURSERVER.ca-bundle)のインストール先にあわせて書き換えてください。

$SERVER[“socket”] == “:443” {
    ssl.engine                  = “enable”
    ssl.pemfile                 = “/etc/lighttpd/YOURSERVER.pem”
    ssl.ca-file                 = “/etc/lighttpd/YOURSERVER.ca-bundle”
    ssl.cipher-list             = “ALL:!EXP:!ADH:!LOW:!SSLv2:!MD5”
    server.document-root        = “/var/www/httpsdocs”

    accesslog.filename          = “/var/log/lighttpd/https_access.log”
}

 server.document-root や accesslog.filename も、ドキュメントルートやログファイルの場所・名前に合わせて設定ください。

3.3 lighttpd の再起動

以下のコマンドで、lighttpd を再起動させます。

/etc/init.d/lighttpd stop
/etc/init.d/lighttpd start

※お客様の環境によってはコマンドが異なる場合があります。
以上で、サーバ証明書のインストールは完了です。

※上記、起動/停止スクリプトがない場合はkillコマンドでlighttpdのプロセスを終了した後、以下のように起動します。

/usr/local/lighttpd/sbin/lighttpd -f /etc/lighttpd/lighttpd.conf

3.4 動作確認

Webブラウザから、証明書を設定したURLへアクセスし、SSLが正しく動作していることを確認します。

4. 証明書と秘密鍵のバックアップ

万一のサーバトラブルによる再設定や、ハード更新時の再インストールに備えて、サーバ証明書と秘密鍵をバックアップしておきます。
バックアップするファイルは、お客様のサーバ証明書(YOURSERVER.crt)と、秘密鍵(YOURSERVER.key)です。
バックアップファイルは、書き換え不可能なメディアに書き込み、厳重に管理してください。 

注:この文書に記載されている情報は予告なしに変更されることがあります。この文書に記載されている情報に従ってユーザが操作を行い、いかなる損害を被ろうとも、当社は一切の責任を負いません。また、ユーザは自己の責任において使用する事に同意したものとみなされます。

©CrossTrust, Inc. All Rights Reserved.