Ogawa::Memoranda

phpMyAdminとかPostfix Adminを素で使うのはなんだかなと思ったので、www/apache13からwww/apache13-modsslに入れ替え。

www/apache22にしても良かったのだが、そうするとmod_fastcgiが使えない。正確にはパッチがあって使えるのだが、portsだけで済まない。www/lighttpdにするという手もあるけど。

# cd /usr/ports/www/apache13-modssl
# make
# make certificate (証明書を作る)
# pkg_delete apache-1.3.XX (コンフリクトするwww/apache13をアンインストール)
# make install
# pkgdb -F (php5とmod_fastcgiのようにwww/apache13に依存していたpackage db情報を修正)
# portupgrade -f php5 mod_fastcgi (この2つはインストールし直す)

http://sec.domain.tld/にアクセスしたらhttps://sec.domain.tld/にリダイレクトするには、他のVirtualHostの設定に並べて以下のように記述する。

<VirtualHost *:80>
    ServerName sec.domain.tld
    ServerAdmin root@domain.tld
    Redirect / https://sec.domain.tld/
</VirtualHost>

上の方法でインストールされるServer Certificateは、なんちゃってCAやおれおれCAで署名したものになるわけだけど、どうせならCAcert.orgに署名してもらったものをインストールした方がよいだろう。

すでになんちゃってCAで署名したCertificateがあるのなら、その元となるCSRも/usr/local/etc/apache/ssl.csr/server.csrに見つかるはず。作り直したいという場合にも、opensslコマンドを使って安直に以下のようにすればよい。

# cd /usr/local/etc/apache
# openssl genrsa -rand /dev/random -out ssl.key/server.key 1024
# openssl req -new -key ssl.key/server.key -out ssl.csr/server.csr
# chmod 400 ssl.key/server.key ssl.csr/server.csr

このCSRを使ってCAcert.orgに署名してもらい、もらったCertificateでssl.crt/server.crtを置き換え、chmod 400しておけばよい。