サーバソフトでのSSLの設定のやり方
自分のスマホからこのサーバへ接続すると証明書エラーが出てたので、それへの各サーバソフトの対応。
いわゆる「4階層クロスルート方式」への対応ですな。元々手抜きして「3階層クロスルート方式」でやってたのが原因です。
ちなみにRapidSSLでの方法なので、他のCAを使用してる場合は適時読みかえをしてください。
基本
RapidSSLへの申し込みをして、「中間CA証明書3階層目(RapidSSL CA)」と「サーバ証明書」が届いている物とします。
各証明書、鍵等を個別に保存してあるものとします。
キモは、クロスルート証明書(2階層目) Geotrust Global CAを中間CA証明書に追加してやる所です。
中間証明書の作成方法
手元に三階層目のCA証明書と二階層目のCA証明書があるものとします。
以下のように、CAファイルを作成
# cat 三階層目CAファイル 二階層目CAファイル > ca.crt
もっと階層が深くなる場合は、最奥階層から順にファイルに追記していけば行ける筈
各ソフトでの対応
apache
ここ参照
http://valuessl.net/support/etc/rapidsslre_cross/apache1.php
postfix
設定箇所はmain.cfの以下の部分
smtpd_tls_cert_file = /etc/ssl/key/moca.crt smtpd_tls_key_file = /etc/ssl/key/moca.key smtpd_tls_CAfile = /etc/ssl/key/moca.espresso.gr.jp_ca.crt smtp_tls_cert_file = /etc/ssl/key/moca.crt smtp_tls_key_file = /etc/ssl/key/moca.key smtp_tls_CAfile = /etc/ssl/key/moca.espresso.gr.jp_ca.crt
cyrus imapd
設定箇所はimapd.confの以下の部分
cyurs imapdでは、読み取りユーザが違うので別ファイルを作成
tls_cert_file: /etc/ssl/key/cyrus.crt tls_key_file: /etc/ssl/key/cyrus.key tls_ca_file: /etc/ssl/key/cyrus-moca.espresso.gr.jp_ca.crt tls_ca_path: /etc/ssl
lighttpd
以下を実行してファイル作成
cat moca.key moca.crt > moca.pem
設定ファイルはlighttpd.confの以下の部分
ssl.pemfile = "/etc/ssl/key/moca.pem" ssl.ca-file = "/etc/ssl/key/moca.espresso.gr.jp_ca.crt"