すでに鍵と証明書を所有している場合(たとえば、セキュアWebサーバーをインストールすることによって、他社の安全なWebサーバー製品と置き換える場合)、おそらくはセキュアWebサーバーについても既存の鍵と証明書を使用することができます。以下の2つの状況では、既存の鍵と証明書を使用することはできません。
IPアドレスまたはドメイン名を変更する場合 IPアドレスまたはドメイン名を変更する場合には古い鍵と証明書を使用することはできません。証明書は、特定のIPアドレスとドメイン名の組に対して発行されます。したがって、IPアドレスまたはドメイン名を変更する場合は、新しい証明書を取得する必要があります。
VeriSignの証明書を保有していて、サーバーソフトウェアを変更する場合 —VeriSignは広く利用されているCAです。すでに別の目的のためにVeriSignの証明書を所有している場合は、新しいセキュアWebサーバーについても既存のVeriSignの証明書を使用することを考えているかもしれません。しかし、それは許されません。なぜならば、VeriSignは特定のサーバーソフトウェアとIPアドレス/ドメイン名の組み合わせに対して証明書を発行するからです。
そのような要素のいずれかを変更する場合(たとえば、以前は別のセキュアなWebサーバー製品を使用しており、今度はセキュアWebサーバーを使用する場合)、以前の設定について取得していたVeriSign証明書は、新しい設定では機能しなくなります。したがって新しい証明書を取得する必要があります。
既存の鍵と証明書を使用することができる場合は、新しい鍵を生成し新しい証明書を取得する必要はありません。しかし、鍵と証明書を含むファイルを移動し、その名前を変更する必要があります。
既存の鍵ファイルを以下の場所に移動します。
/etc/httpd/conf/ssl.key/server.key |
既存の証明書ファイルを以下の場所に移動します。
/etc/httpd/conf/ssl.crt/server.crt |
鍵と証明書を移動した後で、本章のthe section called 証明書のテストに進みます。
Red HatSecure Web Serverバージョン1.0または2.0からアップグレードする場合、古い鍵( httpsd.key )と証明書( httpsd.crt )は /etc/httpd/conf/ の中に保存されているはずです。セキュアWebサーバーが鍵と証明書を使用できるようにするには、鍵と証明書を移動して名前を変更する必要があります。鍵と証明書を移動し、名前を変更するには、以下の2つのコマンドを使用します。
mv /etc/httpd/conf/httpsd.key /etc/httpd/conf/ssl.key/server.key mv /etc/httpd/conf/httpsd.crt /etc/httpd/conf/ssl.crt/server.crt |
次に、本章のthe section called httpdの起動と停止 in Chapter 14で説明するようにセキュアWebサーバーを起動します。以前のバージョンのセキュアWebサーバーをアップグレードする場合は、新しい証明書を取得する必要はありません。