-----------------------------------
①事前準備
②CSRの発行
③ベリサインの申請
④サーバにSSL証明書の設置
⑤Apacheの再起動
⑥Apacheの再起動時のパスフレーズ入力をスキップ
⑦問題が起きたときの切り戻し
-----------------------------------
①事前準備
・Apacheのバージョンを調べる

httpd-2.2.3-22.el5.centos.2

・ApacheのSSLを調べる

mod_ssl-2.2.3-22.el5.centos.2

・ssl.confのバックアップ
ファイルパス：/etc/httpd/conf.d/ssl.conf

cp ssl.conf ssl.conf.bak

・ディスティングイッシュネーム情報を決める

【Country (国名)】
JP
【State(都道府県名)】
Tokyo
【Locality(市区町村名)】
Minato-ku
【Organizational Name(組織名)】
Blog Taro CO.,LTD
【Organizational Unit(部門名)】
Online Media
【Common Name(コモンネーム)】
accentplus.jp

②CSRの発行
参考サイト：Apache + OpenSSL CSR生成手順 (新規)
https://www.verisign.co.jp/ssl/help/csr/capache_new.html
（1）ディレクトリの作成

mkdir -p /usr/local/ssl/bin

（2）ディレクトリの移動

cd /usr/local/ssl/bin

（3）擬似乱数ファイルの作成

openssl md5 * > rand.dat

（4）擬似乱数ファイルを使って秘密鍵の作成

openssl genrsa -rand rand.dat -des3 2048 > 2010key.pem
※2048は2048bitのキー長です。1024bitではなく基本2048bitで

参考サイト：OpenSSLとその用例
http://linux.kororo.jp/cont/server/openssl_command.php
（5）秘密鍵の作成時のパスフレーズのメモ

*******（パスフレーズは任意）
※パスフレーズは必ずメモで残しておくこと

（6）作成した秘密鍵ファイルからCSRを生成

openssl req -new -key 2010key.pem -out 2010csr.pem

③ベリサインの申請
（1）申請者画面にアクセス

https://certmanager.verisign.com/mcelp/enroll/index?application_locale=ja_JP&jur_hash=*****
※クリックしてもリンクは繋がりません

（2）新規申し込み

新規申請　「進む」を押下

（3）セキュア・サーバ ID の申請

1.申請者情報を入力
2/サーバソフトウェアを選択（3階層 中間証明 1024bit(IIS以外)）
※サーバソフトウェアがIIS以外の場合は3階層 中間証明 1024bit(IIS以外)を選択すること
Apacheを使用していても選択項目にあるApacheは選択しない
3.②-（7）で作成したCSR（2010csr.pem）を貼りつけ
4.チャレンジフレーズを入力
********（任意）
※必ずメモして残しておくこと
5.「同意する」を押下

（4）管理者用画面にアクセス

https://enterprise-ssl-admin.verisign.com
※電子証明書をブラウザに設置しないと閲覧不可
1.Certificate Managementをクリック
2.Process Requestsをクリック
3.（3）で申請したものが表示されているので「Approve」を選択

（5）メールが届いているかの確認

申請完了後、「Your Standard SSL Certificate Is Ready」という件名でメールが届く

④サーバにSSL証明書の設置
参考サイト：Apache + OpenSSL サーバIDインストール手順 (新規)
https://www.verisign.co.jp/ssl/help/install/iapache_new.html
（1）ディレクトリの作成

mkdir -p /usr/local/ssl/certs

（2）ディレクトリの移動

cd /usr/local/ssl/certs

（3）2010cert.pemという名前の空ファイルの作成

touch 2010cert.pem

（4）ファイルの編集

メールに添付されているBEGIN CERTIFICATEの内容を2010cert.pemで保存

（5）ディレクトリの作成

mkdir -p /usr/local/ssl/private

（6）ディレクトリの移動

cd /usr/local/ssl/private

（7）秘密鍵をコピー

cp -p /usr/local/ssl/bin/2010key.pem 2010key.pem

（8）サーバID (公開鍵)と秘密鍵のバックアップ

cp -p /usr/local/ssl/certs/2010cert.pem 2010cert.pem.bak.20100806
cp -p /usr/local/ssl/private/2010key.pem 2010key.pem.bak.20100806

（9）中間証明書のインストール

https://www.verisign.co.jp/ssl/help/faq/110089/index.html
へアクセスし、「セキュア・サーバID中間CA証明書1024bit (SHA-1)」をクリック

（10）ディレクトリの移動

cd /usr/local/ssl/certs

（11）intermediate.crtという名前の空ファイルの作成

touch intermediate.crt

（12）ファイルの編集

WEBページのBEGIN CERTIFICATEの内容をintermediate.crtで保存

（13）Apach-SSL設定ファイル（ssl.conf）の編集

ssl.confを開き、サーバID（公開鍵）、秘密鍵、中間証明書のファイルパスを指定
SSLCertificateFile　/usr/local/ssl/certs/2010cert.pem　を追記（サーバID（公開鍵））
SSLCertificateKeyFile　/usr/local/ssl/private/2010key.pem　を追記（秘密鍵）
SSLCertificateChainFile　/usr/local/ssl/certs/intermediate.crt　をssl.conf追記（中間証明書）

⑤Apacheの再起動
（1）Apacheの停止

/etc/init.d/httpd stop
※restartではなく、stop、startコマンドで再起動を行う

（2）Apacheの起動

/etc/init.d/httpd start
※②CSRの発行 - （5）で指定したパスフレーズを入力

⑥Apacheの再起動時のパスフレーズ入力をスキップ
・このままではApacheを再起動するたびにパスフレーズの入力が必要となる為、以下の操作で、Apacheやシステムの再起動時のパスフレーズ入力をスキップさせます。

/usr/bin/openssl rsa -in /usr/local/ssl/private/2010key.pem -out /usr/local/ssl/private/2010key.pem

⑦問題が起きたときの切り戻し（問題発生時のみ）

作業完了、問題があれば、バックアップファイルの
ssl.conf.bakをssl.confとし、Apacheの再起動