このハウツーでは、SSL /をインストールする方法を示します。TLS macOS 10.14Mojaveの証明書。 XNUMXつのシナリオが提供されています。
状況に応じて、これらのいずれかまたは両方を実行することをお勧めします。 たとえば、ローカル開発環境をセットアップしていて、ApacheとWebブラウザなどのクライアントソフトウェアの両方で証明書を使用できるようにしたい場合は、両方を実行します。 どちらの場合も、証明書署名要求を生成したと想定することから始めます(CSR)キーチェーンアクセスで、 ハウツーものの。 この場合、秘密鍵はKeychain Accessにすでにインストールされています。 また、検証が完了し、証明書をダウンロードする準備ができていると想定します。 証明書の注文と取得については、ハウツーを参照してください。 SSLの注文と取得/TLS 鑑定書.
最初のステップ
-
を使用して、ユーザーアカウントから証明書バンドルをダウンロードします。 アパッチ ダウンロードリンク。
-
ファイルを解凍します。 証明書が含まれている必要があります(ファイル名は、 CSR そしてで終わる
.crt
)およびCAバンドル(ca-bundle-client.crt
).
キーチェーンアクセスへの証明書のインストール
-
Open キーチェーンAccess.app、 にあります /アプリケーション/ユーティリティ.
-
キーペアがインストールされているキーチェーンを選択します。 この場合、それは エントルピー キーホルダー。
-
MFAデバイスに移動する ファイル>アイテムのインポート…
-
新しい証明書に移動し、それを選択して、 Open.
-
パスワードを入力してをクリックします キーチェーンを変更.
- 上記の手順3〜5を繰り返します。
ca-bundle-client.crt
中間証明書チェーンをインストールします。 -
証明書をインストールしたことを確認するには、 鑑定書 左側のサイドバーメニューから。
Apacheの証明書をインストールする
-
もしあなた あなたを生成しました CSR キーチェーンアクセス、Apacheで使用するために秘密鍵をファイルとしてエクスポートする必要があります。 開いた キーチェーンAccess.app、 にあります /アプリケーション/ユーティリティ。 (もし、あんたが 生成された CSR OpenSSLを使用 またはSSL.comの CSR マネージャー 以下のステップ9にスキップできます。)
-
左側のサイドバーメニューを使用して選択肢を絞り込み、エクスポートする秘密鍵を見つけて選択します。 この場合、秘密鍵をエクスポートします
www.lunchinhouston.com
、System
キーホルダー。 -
選択する ファイル>アイテムのエクスポート… メニューから。
-
選択したファイル形式が 個人情報交換(.p12) ファイルを見つけられる場所に保存します。
-
パスワードを入力してキーチェーンのロックを解除し(プロンプトが表示された場合)、. p12ファイルのパスワードを作成して、[ OK.
-
Open
Terminal.app
、/Applications/Utilities/
フォルダー、および手順12で.p5ファイルを保存したフォルダーに移動します。 -
openssl
.p12ファイルから秘密鍵を抽出します。 (注: ここに表示されているファイル名を、.p12ファイルの名前と、キーに使用するファイル名に置き換えます。 最初に、手順5で作成したパスワードの入力を求められます。次に、秘密鍵を保護するためのパスワードを作成して確認するように求められます。$ openssl pkcs12 -nocerts -in Certificates.p12 -out privkey.key
-
次に、秘密鍵を復号化する必要があります。 次のコマンドを入力し、必要に応じて入力ファイルと出力ファイルの名前を置き換えます(以下に示す同じ名前を使用すると、暗号化されたファイルが上書きされます)。 手順7で作成したパスワードの入力を求められます。
$ openssl rsa -in privkey.key -out privkey.key
- 秘密鍵、証明書、中間バンドルファイルを、Apacheが読み取れる安全なディレクトリに配置します。 このハウツーでは、
/private/etc/apache2/
。 選択した場所によっては、使用する必要がある場合がありますsudo
ファイルを移動します。 -
Apacheのメイン構成ファイルを開きます。
httpd.conf
、テキストエディタで。 Mojave標準Apacheインストールでは、このファイルは/private/etc/apache2/
ディレクトリ。 編集用にファイルを開くにはnano
、次のコマンドを実行します。$ sudo nano /private/etc/apache2/httpd.conf
注: あなたが使っているのでsudo
このファイルを編集するための十分な権限を一時的に引き継ぐために、続行する前にパスワードの入力を求められます。 -
これらの行を見つける
httpd.conf
を削除してコメントを外します#
各行の先頭の文字:LoadModule socache_shmcb_module libexec / apache2 / mod_socache_shmcb.so ... LoadModule ssl_module libexec / apache2 / mod_ssl.so ... Include /private/etc/apache2/extra/httpd-vhosts.conf ... Include / private / etc / apache2 / extra / httpd-ssl.conf
注: あなたが使用している場合nano
編集するhttpd.conf
、でテキスト文字列を検索できますCtrl-W
- Save
httpd.conf
テキストエディタを終了します(Ctrl-O
、続いてCtrl-X
innano
). -
次に、開く
httpd-ssl.conf
編集のため:$ sudo nano /private/etc/apache2/extra/httpd-ssl.conf
-
次の行を探し、Apacheがポートで待機していることを確認します
443
。 ポートがに設定されている場合8443
または他の値に変更します443
.##SSLも提供する場合、標準の#HTTPポート(上記を参照)およびHTTPSポートをリッスンする必要があります#リッスン443
- 文字列で始まる行を検索します
<VirtualHost _default_:
(ポート番号は異なる場合があります)そしてコメント化または削除します を その間の線</virtualhost>
. - Save
httpd-ssl.conf
テキストエディタを終了します。 -
次に、開く
httpd-vhosts.conf
編集のため:$ sudo nano /private/etc/apache2/extra/httpd-vhosts.conf
-
保護するサイトのVirtualHostエントリを作成し(ここに表示されているプレースホルダーではなく、Webサイトとサーバーの実際の値を使用)、ファイルを保存してテキストエディターを終了します。
DocumentRoot "/PATH/TO/WEBSITE" ServerName SERVERNAME SSLEngine on SSLCertificateFile "https://ee443cc2f1.rocketcdn.me/private/etc/apache8/server.crt" SSLCertificateKeyFile "https://ee2cc2f1.rocketcdn.me/private/etc /apache8/server.key" SSLCertificateChainFile "https://ee2cc2f1.rocketcdn.me/private/etc/apache8/ca-bundle-client.crt"
-
次のコマンドを使用して、Apacheの設定を確認します。
$ sudo apachectl configtest
-
問題がなければ、Apacheを再起動します。
$ sudo apachectl 再起動
-
すべてが正しく行われていれば、完了です。 WebブラウザーでHTTPS Webサイトに移動できるはずです。