CentOS 7 Apache TLS 設定 – 自己署名証明書で HTTPS 化する

CentOS 7 の Apache httpd で、自己署名証明書を使って HTTPS を有効化する手順です。公開サイト向けではなく、内部向け Web UI、検証環境、管理画面などを TLS 化する場合の設定として整理します。

自己署名証明書を使う場合、ブラウザーやクライアントがその CA を信頼していなければ警告が出ます。内部向け TLS では、証明書を作ることだけでなく、どの端末に CA を配布するかまで設計に含めます。

コマンドはコピペしやすい形を優先しています。ただし、長大な既存設定ファイルを部分的に変更する箇所では、既存値との重複を避けるため、バックアップを取ったうえで設定断片を確認して反映します。

この手順は CentOS 7 設定マニュアル の一部として整理しています。

証明書配置ディレクトリ

mkdir -p /var/lib/pki

証明書と秘密鍵の配置

サーバー証明書と秘密鍵を配置します。秘密鍵は不用意に読めないように権限を絞ります。

cp server.crt /var/lib/pki/server.crt
cp server.key /var/lib/pki/server.key
chmod 400 /var/lib/pki/server.key
chmod 444 /var/lib/pki/server.crt

ssl.conf の設定

ssl.conf は既存の TLS パラメータを含むため、丸ごと置き換えず、証明書まわりの項目を確認して反映します。

cp -a /etc/httpd/conf.d/ssl.conf /etc/httpd/conf.d/ssl.conf.bak

cat <<'EOF'
# /etc/httpd/conf.d/ssl.conf の該当項目を以下のように整理する
ServerName [hostname].mydomain.com:443
SSLCertificateFile /var/lib/pki/server.crt
SSLCertificateKeyFile /var/lib/pki/server.key
EOF

Apache の再起動

systemctl restart httpd
systemctl status httpd

確認するポイント

• 証明書の CN / SAN がアクセスするホスト名と一致しているか。
• 秘密鍵の権限が広すぎないか。
• クライアント側で内部 CA を信頼させる必要があるか。
• 自己署名証明書を公開サイト用途に使っていないか。

自己署名証明書は、信頼の起点を自分で管理できる内部環境では有効です。ただし、利用者端末まで含めて CA 配布を管理しない場合、単に警告を無視する運用になってしまいます。

この手順は CentOS 7 設定マニュアル の一部として整理しています。

Related posts:

CentOS 7 Apache TLS 設定 – Let’s Encrypt で HTTPS 化する CentOS 7 SSL 証明書 – 自己署名 CA と内部向け TLS の基本 Ubuntu 22.04 Apache TLS – 内部 CA 証明書で HTTPS を有効化する CentOS 8 easy-rsa を使用した SSL 証明書の作成 CentOS 5 Apache メモリが不足している場合のチューニング CentOS 5 Apache Status よるステータス確認 CentOS 6 Apache Web サーバー構築 CentOS 7 Apache Web サーバー構築 – httpd の基本設定 CentOS 8 Apache Web サーバー構築 – httpd の基本設定 CentOS 8 Apache ModSecurity WAF – 導入と誤検知調整の基本 EAP-TLS と EAP-TTLS 何が違う？ VyOS OpenVPN Site-to-Site TLS 設定と MTU の考え方