config設定
いくつか前提
- Apache2.2系
- Apache-sslではなくmod_ssl
- Apache起動時にパスフレーズの確認は許容
発行された証明書をApacheの設定ファイルに反映する。
- SSLCertificateFile:発行されたSSLサーバ証明書を指定
- SSLCertificateKeyFile:サーバ証明書作成時に使用した秘密鍵を指定
- SSLCertificateChainFile:発行された中間CA証明書+クロスルート証明書を指定
クロスルート証明書についてもう少し掘り下げてみた。
証明書の階層構造が異なるらしい。
3階層
・サーバ証明書 – 中間CA証明書 – ルート証明書
4階層
・サーバ証明書 – 中間CA証明書 – クロスルート証明書 – ルート証明書
ルート証明書は各ブラウザに組み込まれているため
中間CA証明書を参照できない端末がクロスルート証明書を必要とする。
PCのブラウザは、セキュリティパッチやバージョンアップなどの際に新しいルート証明書が提供されているが、
携帯端末等は、ルート証明書の更新機能がない場合や、そもそも組み込まれているルート証明書が少ない場合、クロスルート証明書
を経由する。
相互認証なることを行い認証するので、ルート証明書との相互認証により警告なしで使用可能とある。
脆弱性対策については別途