Certificate Management Service:ApacheサーバーにSSL証明書をインストールする

ステップ2: Apacheサーバーに証明書をインストールする

1. 次のコマンドを実行して、Apacheのインストールディレクトリにcertという名前のディレクトリを作成します。

   1. 次のコマンドを実行して、Apacheのインストールディレクトリに移動します。

      cd /etc/httpd/ # yumを使用してインストールされているApacheのデフォルトのインストールディレクトリに移動します。 ディレクトリを変更した場合、または他の方法でApacheをインストールした場合は、実際のディレクトリを指定します。

   2. 次のコマンドを実行して、certという名前のディレクトリを作成します。

      mkdir cert# certという名前のディレクトリを作成します。

2. 証明書ファイルとパスワードファイルをApacheサーバーの証明書ディレクトリ (/etc/httpd/cert) にアップロードします。

   説明

   ファイルをアップロードするには、PuTTY、Xshell、WinSCPなどのリモートログオンツールのファイルアップロード機能を使用します。 Alibaba Cloud Elastic Compute Serviceインスタンスにファイルをアップロードする方法の詳細については、「Windowsインスタンスへのファイルのアップロードまたはダウンロード」または「Linuxインスタンスへのファイルのアップロード」をご参照ください。

3. httpd.confおよびssl.conf設定ファイルの証明書関連の設定を変更します。

   1. mod_ssl.soモジュールの読み込みとSSL暗号化の有効化に使用するLoadModule ssl_module /mod_ssl.soパラメーターを見つけ、SSL構成ディレクトリの読み込みに使用するInclude conf.mo dules.d/*.confパラメーターを見つけます。 番号記号 (#) で始まるコメントがパラメーターに追加されているかどうかを確認します。 はいの場合、コメントを削除します。

      重要

      パラメーターを含む設定ファイルは、オペレーティングシステムとApacheのインストール方法によって異なります。 次のリストに、パラメーターを含む設定ファイルについて説明します。

      • conf.mo dules.d/00-ssl.conf: このファイルには、LoadModule ssl_module modules/mod_ssl.soパラメーターが含まれています。

      • httpd.conf: このファイルには、Include conf.mo dules.d/*.confパラメーターが含まれています。

      • http-ssl.conf

      上記のパラメーターが見つからない場合は、mod_ssl.soモジュールがApacheサーバーにインストールされているかどうかを確認してください。 モジュールがインストールされていない場合は、yum install -y mod_sslコマンドを実行してモジュールをインストールします。 コマンドを実行した後、httpd -M | grep 'ssl' コマンドを実行して、mod_ssl.soモジュールがApacheサーバーに正常にインストールされているかどうかを確認できます。

   2. 次のコマンドを実行して、ssl.conf設定ファイルを開きます。

      vim /etc/httpd/conf.d/ssl.conf

      重要

      構成ファイルの名前と構成ファイルが格納されているディレクトリは、オペレーティングシステムによって異なります。 ssl.confファイルが見つからない場合は、Apacheのインストールディレクトリにconf/extra/http-ssl.conf設定ファイルが存在するかどうかを確認してください。

   3. ssl.conf設定ファイルで次のパラメーターを見つけ、次のコメントに基づいてパラメーターを設定します。

      <VirtualHost *:443> 
       ServerName# 証明書に追加するドメイン名にServerNameを設定します。  
       SSLCertificateFile cert/domain_name_public.crt# domain_name_public.crtを証明書ファイルの名前に置き換えます。 
       SSLCertificateKeyFile cert/domain_name.key# domain_name.keyを秘密鍵ファイルの名前に置き換えます。 
       SSLCertificateChainFile cert/domain_name_chain.crt# domain_name_chain.crtを証明書チェーンファイルの名前に置き換えます。 名前が番号記号 (#) で始まる場合は、番号記号を削除します。 
       
       # 使用するトランスポート層セキュリティ (TLS) プロトコルとカスタム暗号スイートを指定します。 次のサンプルコードは参考用です。
       # 後のTLSバージョンでは、セキュリティは高くなりますが、ブラウザとの互換性は低くなります。 
       # SSLProtocol all -SSLv2 -SSLv3# サポートされているSSLプロトコルを追加し、安全でないプロトコルを削除します。 
       # SSLCipherSuite HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+ MEDIUM# 暗号スイートを変更します。 
      </VirtualHost>
      
      # 証明書に複数のドメイン名が含まれている場合は、VirtualHostパラメーターをコピーし、ServerNameを別のドメイン名に設定します。  
      <VirtualHost *:443> 
       ServerName# 証明書に追加する別のドメイン名にServerNameを設定します。  
       SSLCertificateFile cert/domain_name2_public.crt# domain_name2を別のドメイン名に置き換えます。 
       SSLCertificateKeyFile cert/domain_name2.key# domain_name2を別のドメイン名に置き換えます。 
       SSLCertificateChainFile cert/domain_name2_chain.crt# domain_name2を別のドメイン名に置き換えます。 名前が番号記号 (#) で始まる場合は、番号記号を削除します。 
       
       SSLEngine on 
       SSLHonorCipherOrder on
       # 使用するTLSプロトコルとカスタム暗号スイートを指定します。 次のサンプルコードは参考用です。
       # 後のTLSバージョンでは、セキュリティは高くなりますが、ブラウザとの互換性は低くなります。 
       # SSLProtocol all -SSLv2 -SSLv3# サポートされているSSLプロトコルを追加し、安全でないプロトコルを削除します。 
       # SSLCipherSuite HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+ MEDIUM# 暗号スイートを変更します。 
      </VirtualHost> 

      重要

      ブラウザのバージョンがサーバー名表示 (SNI) をサポートしているかどうかを確認します。 ブラウザのバージョンがSNIをサポートしていない場合、マルチドメイン証明書の設定は有効になりません。

   4. オプションです。 HTTPSリクエストへのHTTPリクエストの自動リダイレクトを設定するには、httpd.conf設定ファイルを変更します。

      次のリダイレクションコードをhttpd.conf設定ファイルに追加します。

      RewriteEngine on
      RewriteCond %{SERVER_PORT} ! ^ 443 $
      RewriteRule ^(.*)$ https:// %{SERVER_NAME}$1 [L,R] 

4. 前述の設定を有効にするには、Apacheサービスを再起動します。

   1. を実行します。Run theapachectl -kストップコマンドを実行してApacheサービスを停止します。

   2. を実行します。Run theapachectl -kスタートコマンドを実行してApacheサービスを開始します。

https:// yourdomain# yourdomainを証明書にバインドされているドメイン名に置き換えます。