メニュー
Amazon Elastic Compute Cloud
Linux インスタンス用ユーザーガイド

チュートリアル: Amazon Linux で SSL/TLS を使用できるように Apache ウェブサーバーを設定する

Secure Sockets Layer/Transport Layer Security (SSL/TLS) は、ウェブサーバーとウェブクライアントの間に、転送中のデータが傍受されないように保護する、暗号化されたチャネルを確立します。このチュートリアルでは、Apache ウェブサーバーを実行している単一の Amazon Linux インスタンスに、SSL/TLS のサポートを手動で追加する方法を説明します。ここでは説明しませんが、特に複数のドメインを管理する必要がある場合や、商業グレードのサービスを提供する場合は、AWS Certificate Manager も適したオプションです。

注記

歴史的経緯から、ウェブの暗号化は、単純に SSL と呼ばれることが少なくありません。ウェブブラウザでは今でも SSL がサポートされていますが、後継プロトコルである TLS プロトコルの方が攻撃を受けにくいと考えられています。Amazon Linux ではデフォルトで SSL バージョン 2 が無効になり、このチュートリアルでは次に示すように SSL バージョン 3 も無効にすることをお勧めします。推奨されている最新の暗号化標準については、RFC7568 を参照してください。

重要

これらの手順は Amazon Linux で使用するためのものです。他のディストリビューションのインスタンスでの LAMP ウェブサーバーのセットアップは、このチュートリアルの範囲外です。 Ubuntu の LAMP ウェブサーバーについては、Ubuntu コミュニティのドキュメントの ApacheMySQLPHP トピックを参照してください。Red Hat Enterprise Linux については、Customer Portal でウェブサーバーに関するトピックを参照してください。

前提条件

このチュートリアルを開始する前に、次のステップを完了してください。

  • Amazon Linux インスタンスを起動します。詳細については、「ステップ 1: インスタンスを起動する」を参照してください。

  • SSH (ポート 22)、HTTP (ポート 80)、HTTPS (ポート 443) の接続を許可するように、セキュリティグループを設定します。詳細については、「Amazon EC2 でのセットアップ」を参照してください。

  • Apache ウェブサーバーをインストールします。手順については、チュートリアル: Amazon Linux への LAMP ウェブサーバーのインストール」を参照してください。必要なのは http24 パッケージおよび対応する従属コンポーネントのみです。PHP および MySQL に関連する手順は無視してかまいません。

  • SSL/TLS の公開鍵基盤 (PKI) では、ドメインネームシステム (DNS) に基づいてウェブサイトの識別と認証が行われます。EC2 インスタンスを使用してパブリックウェブサイトをホストする計画がある場合は、ウェブサーバーのドメイン名を登録するか、既存のドメイン名を Amazon EC2 ホストに移す必要があります。これについては、ドメイン登録および DNS ホスティングに関するサードパーティのサービスが多数存在します。Amazon Route 53 を使用することもできます。

ステップ 1: サーバーでの SSL/TLS の有効化

この手順では、自己署名のデジタル認証を使用して、Amazon Linux で SSL/TLS をセットアップします。

サーバーで SSL/TLS を有効にするには

  1. インスタンスに接続し、Apache が実行されていることを確認します。

    Copy
    [ec2-user ~]$ sudo service httpd status

    必要であれば、Apache を起動します。

    Copy
    [ec2-user ~]$ sudo service httpd start
  2. すべてのソフトウェアパッケージが最新の状態であることを確認するため、インスタンスでソフトウェアの更新を実行します。この処理には数分かかりますが、最新の更新とバグ修正を確実に適用することが重要です。

    注記

    -y オプションを指定すると、確認メッセージを表示せずに更新をインストールできます。インストール前に更新を検査する場合は、このオプションを省略できます。

    Copy
    [ec2-user ~]$ sudo yum update -y
  3. インスタンスが最新状態になったため、Apache のモジュールである mod_ssl をインストールすることで SSL/TLS サポートを追加します。

    Copy
    [ec2-user ~]$ sudo yum install -y mod24_ssl

    このチュートリアルでは、次に示す 3 つのインストール済みファイルを使用します。

    • /etc/httpd/conf.d/ssl.conf

      mod_ssl の設定ファイル。このファイルには、暗号化キーと証明書の場所、許可する SSL/TLS プロトコル、使用する暗号化アルゴリズムを Apache に指示する "ディレクティブ" が含まれています。

    • /etc/pki/tls/private/localhost.key

      Amazon EC2 ホスト用に自動生成された 2048 ビットの RSA プライベートキー。インストール時には、自己署名ホスト証明書を生成するために OpenSSL によってこのキーが使用されます。後でこのキーを使用して、認証局 (CA) に送信する証明書署名リクエスト (CSR) を生成することもできます。

    • /etc/pki/tls/certs/localhost.crt

      サーバーホスト用に自動生成された、自己署名の X.509 証明書。この証明書は、SSL/TLS を使用するように Apache が正しくセットアップされているかどうかをテストする場合に役立ちます。

    .key ファイルと .crt はどちらも PEM 形式であり、この短縮化された証明書の例のように、「BEGIN」行と「END」行で囲まれ Base64 でエンコードされた ASCII 文字で構成されます。

    Copy
    -----BEGIN CERTIFICATE----- MIIEazCCA1OgAwIBAgICWxQwDQYJKoZIhvcNAQELBQAwgbExCzAJBgNVBAYTAi0t MRIwEAYDVQQIDAlTb21lU3RhdGUxETAPBgNVBAcMCFNvbWVDaXR5MRkwFwYDVQQK DBBTb21lT3JnYW5pemF0aW9uMR8wHQYDVQQLDBZTb21lT3JnYW5pemF0aW9uYWxV bml0MRkwFwYDVQQDDBBpcC0xNzItMzEtMjAtMjM2MSQwIgYJKoZIhvcNAQkBFhVy ... z5rRUE/XzxRLBZOoWZpNWTXJkQ3uFYH6s/sBwtHpKKZMzOvDedREjNKAvk4ws6F0 WanXWehT6FiSZvB4sTEXXJN2jdw8g+sHGnZ8zCOsclknYhHrCVD2vnBlZJKSZvak 3ZazhBxtQSukFMOnWPP2a0DMMFGYUHOd0BQE8sBJxg== -----END CERTIFICATE-----

    ファイル名および拡張子は利便性のためであり、関数には影響しません。証明書は、ssl.conf ファイルの関連ディレクティブが同じ名前を使用している限り、cert.crt または cert.pem または certificate.pem で呼び出すことができます。

    注記

    デフォルトの SSL ファイルを独自にカスタマイズしたファイルに置き換える場合は、PEM 形式であることを確認してください。

  4. Apache を再起動します。

    Copy
    [ec2-user ~]$ sudo service httpd restart
  5. Apache ウェブサーバーではポート 443 経由で HTTPS (セキュア HTTP) がサポートされるようになっています。これをテストするには、ブラウザの URL バーに、https:// というプレフィックスを指定して、EC2 インスタンスの IP アドレスまたは完全修飾ドメイン名を入力します。信頼されていない自己署名証明書を使用してサイトに接続しようとしているため、ブラウザには一連の警告が表示されることがあります。

    これらをオーバーライドし、サイトに進みます。サーバーで SSL/TLS を正しく設定できていれば、Apache のデフォルトのウェルカムページが開きます。これで、ブラウザとサーバーの間で行き来するデータはすべて、安全に暗号化されるようになりました。このことは、ブラウザの URL バーのロックアイコンで示されます。

    サイト訪問者に対して警告画面が表示されないようにするには、暗号化だけではなく、サイト所有者のパブリック認証を行うための証明書を取得する必要があります。

ステップ 2: CA 署名証明書の取得

このセクションでは、プライベートキーから証明書署名リクエスト (CSR) を生成して認証機関 (CA) に送信し、署名付き証明書を取得して、これを使用できるように Apache を設定するプロセスについて説明します。

自己署名 SSL/TLS X.509 証明書は、暗号化技術上は CA 署名証明書と同じです。これらの相違は数学的なものではなく、社会的なものです。CA では、最低でもドメイン所有権を検証してから申請者に証明書を発行することを保証しています。そのため、各ウェブブラウザには、ブラウザベンダーが信頼する CA のリストが含まれています。X.509 証明書は主に、プライベートサーバーキーに対応するパブリックキーと、このパブリックキーに暗号で関連付けられている CA による署名で構成されています。HTTPS 経由でブラウザがウェブサーバーに接続すると、サーバーは、信頼された CA のリストをブラウザが確認できるように、証明書を提示します。署名者がリストに含まれている場合や、他の信頼された署名者のチェーンを通じてアクセス可能である場合、ブラウザはサーバーと、高速暗号化データチャネルのネゴシエーションを行い、ページをロードします。

証明書には、リクエストの確認作業が必要であり、一般的に費用がかかるため、各社を比較することをお勧めします。よく知られている CA のリストについては、dmoz.org のサイトを参照してください。StartCom など、少数の CA では、基本レベル ("クラス 1") の証明書が無料で発行されています。

証明書の基盤にはキーがあります。2013 年の時点では、米国政府の機関および業界グループにより、RSA キーには最小キー (モジュラス) サイズとして 2048 ビットの使用が推奨されています。Amazon Linux で OpenSSL によって生成されるデフォルトのモジュラスサイズは 2048 ビットです。つまり、自動生成された既存のキーは、CA 署名証明書に適しています。モジュラスサイズを大きくする、別の暗号化アルゴリズムを使用するなど、キーのカスタマイズが必要な場合は、次に示す代替手順に従ってください。

CA 署名証明書を取得するには

  1. インスタンスに接続して、/etc/pki/tls/private/ に移動します。これは、サーバーの SSL/TLS 用プライベートキーが格納されているディレクトリです。既存のホストキーを使用して CSR を生成する場合は、ステップ 3 に進んでください。

  2. (オプション) 新しいプライベートキーを生成します。いくつかのサンプル設定を次に示します。生成されたキーのどれもウェブサーバーで機能しますが、セキュリティの実装方法 (および強度) はそれぞれ異なります。

    1. 開始点として、インスタンスでデフォルトのホストキーに似た RSA キーを作成するコマンドは次のとおりです。

      Copy
      [ec2-user ~]$ sudo openssl genrsa -out custom.key 2048

      結果として生成されるファイル custom.key が、2048 ビットの RSA プライベートキーです。

    2. これより大きなモジュラスサイズを使用して、より強力な RSA キーを作成するには、次のコマンドを使用します。

      Copy
      [ec2-user ~]$ sudo openssl genrsa -out custom.key 4096

      結果として生成されるファイル custom.key が、4096 ビットの RSA プライベートキーです。

    3. パスワードで保護された 4096 ビット暗号化 RSA キーを作成するには、次のコマンドを使用します。

      Copy
      [ec2-user ~]$ sudo openssl genrsa -aes128 -passout pass:abcde12345 -out custom.key 4096

      結果として、AES 128 ビット暗号化方式で暗号化された 4096 ビットの RSA プライベートキーが生成されます。

      重要

      暗号化を使用するとセキュリティを強化できますが、暗号化キーにはパスワードが必要であるため、暗号化に依存するサービスを自動的に開始することはできません。このキーを使用するたびに、SSH 接続で "abcde12345" というパスワードを指定する必要があります。

    4. RSA 暗号化は、桁数が大きい 2 つの素数の積を因数分解する困難さを安全性の根拠としているため、比較的低速になる場合があります。ただし、非 RSA 暗号化方式を使用する SSL/TLS 用のキーを作成することも可能です。同等レベルのセキュリティを提供する場合は、楕円曲線の計算に基づいたキーの方が小さく高速です。例を示します。

      Copy
      [ec2-user ~]$ sudo openssl ecparam -name prime256v1 -out custom.key -genkey

      この場合の出力は、prime256v1 (OpenSSL でサポートされる "名前付き曲線") を使用した 256 ビットの楕円曲線プライベートキーです。暗号化強度は (NIST によると) 2048 ビットの RSA キーよりやや優れています。

      注記

      すべての CA で、楕円曲線ベースのキーに対して RSA キーと同じレベルのサポートが提供されているわけではありません。

    新しいプライベートキーには、制限の厳しいアクセス権を設定します (所有者ルート、グループルート、所有者のみの読み取り/書き込み)。コマンドは次のようになります。

    Copy
    [ec2-user ~]$ sudo chown root.root custom.key [ec2-user ~]$ sudo chmod 600 custom.key [ec2-user ~]$ ls -al custom.key

    上のコマンドを実行すると、次のような結果になります。

    Copy
    -rw------- root root custom.key

    適切なキーを作成し、設定できたら、CSR を作成できます。

  3. 好みのキーを使用して CSR を作成します。次の例では、private.key を使用しています。

    Copy
    [ec2-user ~]$ sudo openssl req -new -key private.key -out csr.pem

    OpenSSL によりダイアログが開かれ、次の表に示されている情報の入力が求められます。基本的なドメイン検証済み証明書については、[Common Name] 以外のフィールドはすべてオプションです。

    名前 説明
    国名 2 文字の ISO 略称 (国名コード)。 US (= 米国)
    州名 あなたが所属する組織の所在地の州または県。省略不可です。 ワシントン
    市区町村 市など、組織の場所。 シアトル
    組織名 組織の正式名称。組織名は、省略不可です。 Example Corp
    部門名 組織に関する追加情報 (存在する場合)。 Example Dept
    共通名

    この値は、ユーザーがブラウザに入力する必要のあるウェブアドレスと正確に一致します。通常、これはプレフィックス付きのホスト名またはエイリアスによるドメイン名 (www.example.com の形式) を意味します。自己署名証明書を使用し、DNS 解決なしでテストを行う場合、共通名の構成要素はホスト名のみになる場合があります。CA では、*.example.com などのワイルドカード名を許容する、よりコストの高い証明書も用意されています。

    www.example.com
    E メールアドレス サーバー管理者の E メールアドレス. someone@example.com

    最後に、OpenSSL により、オプションのチャレンジパスワードが求められます。このパスワードは CSR と、ユーザーと CA の間のトランザクションのみに適用されるため、このフィールドと、もう 1 つのオプションフィールドである、オプションの会社名については、CA の推奨事項に従ってください。CSR のチャレンジパスワードは、サーバー操作には影響しません。

    結果として生成されるファイル csr.pem には、パブリックキー、パブリックキーのデジタル署名、入札したメタデータが含まれています。

  4. CA に CSR を送信します。この作業は通常、テキストエディタで CSR ファイルを開く動作と、内容をウェブフォームにコピーする動作で構成されています。このとき、証明書に適用する 1 つ以上のサブジェクト代替名 (SAN) を指定するように求められることがあります。共通名が www.example.com の場合、有効な SAN は example.com になります (逆も同様です)。ユーザーが、リストにあるいずれかの名前を入力すると、エラーなしの接続が提示されます。CA のウェブフォームで許可される場合は、SAN のリストに共通名を含めます (一部の CA では自動的に含められます)。

    リクエストが承認されると、CA によって署名された新しいホスト証明書が届きます。CA の信頼チェーンを完成するために必要な、追加の証明書が含まれている中間証明書ファイルをダウンロードするよう指示されることもあります。

  5. 元の自己署名ホスト証明書 (localhost.crt) を /etc/pki/tls/certs ディレクトリから削除し、新しい CA 署名証明書を (すべての中間証明書と共に) そのディレクトリに置きます。

    注記

    EC2 インスタンスに新しい証明書をアップロードする方法は複数ありますが、最も簡単でわかりやすい方法は、テキストエディタ (vi、nano、メモ帳など) をローカルコンピューターとインスタンスの両方で開いて、両者の間でファイルの内容をコピーして貼り付けることです。こうすることで、許可やパスに問題があるかどうかをすぐに確認できます。ただし、内容をコピーする際に行を追加したり、内容を変更したりしないでください。

    /etc/pki/tls/certs ディレクトリの中から、ファイルの所有権、グループ、アクセス権の設定が制限の厳しい Amazon Linux のデフォルト (所有者ルート、グループルート、所有者のみの読み込み/書き出し) と一致することを確認します。コマンドは次のようになります。

    Copy
    [ec2-user certs]$ sudo chown root.root custom.crt [ec2-user certs]$ sudo chmod 600 custom.crt [ec2-user certs]$ ls -al custom.crt

    上のコマンドを実行すると、次のような結果になります。

    Copy
    -rw------- root root custom.crt

    中間証明書ファイルのアクセス権は、比較的厳しくありません (所有者ルート、グループルート、所有者による書き込み可能、パブリックによる読み取り可能)。コマンドは次のようになります。

    Copy
    [ec2-user certs]$ sudo chown root.root intermediate.crt [ec2-user certs]$ sudo chmod 644 intermediate.crt [ec2-user certs]$ ls -al intermediate.crt

    上のコマンドを実行すると、次のような結果になります。

    Copy
    -rw-r--r-- root root intermediate.crt
  6. 新しい CA 署名証明書のファイル名 (この例では custom.crt) は、元の証明書と異なる場合があります。/etc/httpd/conf.d/ssl.conf を編集し、Apache の SSLCertificateFile ディレクティブを使用して、正しいパスとファイル名を指定します。

    Copy
    SSLCertificateFile /etc/pki/tls/certs/custom.crt

    中間証明書ファイル (この例では intermediate.crt) を受け取ったら、Apache の SSLCACertificateFile ディレクティブを使用して、このファイルのパスとファイル名を指定します。

    Copy
    SSLCACertificateFile /etc/pki/tls/certs/intermediate.crt

  7. /etc/httpd/conf.d/ssl.conf を保存して、Apache を再起動します。

    Copy
    [ec2-user ~]$ sudo service httpd restart

ステップ 3: セキュリティ設定のテストと強化

SSL/TLS が運用可能になりパブリックに公開されたら、実際の安全性をテストする必要があります。セキュリティセットアップの詳細な分析を無料で行うことのできる Qualys SSL Labs などのオンラインサービスを使用すると簡単です。その結果に基づき、受け入れるプロトコル、優先する暗号化方式、除外する暗号化方式を制御することによって、デフォルトのセキュリティ設定を強化するかどうかを決定できます。詳細については、Qualys のスコアの計算方法を参照してください。

重要

サーバーのセキュリティを確保するには、実際のテストが非常に重要です。小さな設定エラーによって、深刻なセキュリティ侵害やデータの損失が生じる可能性があります。調査や新たな脅威に応じて、推奨されるセキュリティ管理方法は常に変化するため、適切なサーバー管理を行うには、定期的なセキュリティ監査が不可欠です。

Qualys SSL Labs のサイトで、サーバーの完全修飾ドメイン名を www.example.com という形式で入力します。約 2 分後に、サイトに関するグレード (A から F) と、結果の詳細な内訳が届きます。以下の表は、Amazon Linux でのデフォルトの Apache 設定と同じ設定を使用しているドメインのレポートをまとめたものです。

総合評価 C
証明書 100%
プロトコルサポート 90%
キー交換 90%
暗号強度 90%

このレポートは、設定がほとんど正常であり、証明書、プロトコルサポート、キー交換、暗号強度に関して許容範囲の評価であることを示しています。ただし、レポートでは、全体的なグレードが低下する原因となる 3 つの脆弱性も示されており、これらには対処する必要があります。

  • POODLE 脆弱性: 2014 年に発見された POODLE 攻撃とは、攻撃者が SSL バージョン 3 の脆弱性を悪用して、なりすましによってウェブサイトとの通信を行うというものです。この問題を解決するには、単純に、サーバーで SSL バージョン 3 のサポートを無効にします。設定ファイル /etc/httpd/conf.d/ssl.conf で、次の行の先頭に "#" を入力してコメントアウトします。

    Copy
    SSLProtocol all -SSLv2

    次に、次のディレクティブを追加します。

    Copy
    SSLProtocol -SSLv2 -SSLv3 +TLSv1 +TLSv1.1 +TLSv1.2

    SSL バージョン 2 の明示的な無効化に加えて、このコマンドを実行すると SSL バージョン 3 (セキュリティ監査で示されたもの) も無効化され、現在存在するすべてのバージョンの TLS が明示的に許可されます。これによりサーバーでは、TLS 以外を使用した、クライアントとの暗号化された接続の受け入れが拒否されます。ディレクティブに含める指定が多くなるほど、サーバーの動作に対する設定内容が明確にわかりやすくなります。

  • RC4 暗号化方式のサポート: 暗号化方式は、暗号化アルゴリズムの計算の中核です。SSL/TLS データストリームの暗号化に使用される高速の暗号化方式である RC4 は、いくつかの重大な脆弱性を持つことで知られています。対処方法は、ssl.conf で RC4 のサポートを無効にすることです。これは、次回の修正に含められます。

  • 前方秘匿性のサポートの欠落: 前方秘匿性とは、プライベートキーから派生した一時 (エフェメラル) セッションキーを使用して暗号化を行う、プロトコルの機能です。これは、攻撃者がウェブサーバーの長期的なプライベートキーを所有していても、HTTPS データを復号できないことを意味します。Qualys の "リファレンスブラウザ" リストにあるウェブブラウザはすべて、前方秘匿性をサポートしています。

    RC4 と前方秘匿性の両方の問題に対処するには、Apache で許可および禁止されている暗号化方式のリストをカスタマイズし、弱い暗号化方式に対する強力な暗号化方式の優先を適用することです。これは 2 つの設定の変更が必要です。

    設定ファイル /etc/httpd/conf.d/ssl.conf で、SSLCipherSuite の設定に関してコメントアウトされた例のあるセクションを見つけ、現在のリストを (削除はせずに) コメントアウトし、次のディレクティブを追加します。

    注記

    ここでは読みやすくするために数行に示していますが、ディレクティブは全体を 1 行にする必要があります。暗号化方式名はスペースで区切りません。

    Copy
    SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256: AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH: !EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

    これらの暗号化方式は、OpenSSL でサポートされている暗号化方式の長いリストのうち、一部です。これらは、以下の条件に応じて選択され、順序付けられています。

    1. 前方秘匿性のサポート

    2. Strength

    3. スピード

    4. 特定の暗号化方式、その後に暗号化方式のファミリー

    5. 許可されている暗号化方式、その後に拒否されている暗号化方式

    ランクの高い暗号化方式の名前には、ECDHE が含まれています (Elliptic Curve Diffie-Hellman Ephemeral など)。ephemeral は前方秘匿性を示します。また、RC4 は現在、リストの最後に近い位置にあり、禁止された暗号化方式に含まれています。

    デフォルトや、内容が見えない簡単なディレクティブに依存するのではなく、暗号化方式の明示的なリストを使用することをお勧めします。

    重要

    ここに示されている暗号化方式リストは、多数考えられるリストの 1 つに過ぎません。たとえば、前方秘匿性よりスピードを重視したリストが必要になることもあります。

    古いクライアントをサポートする必要性が予測される場合は、DES-CBC3-SHA 暗号化スイートを許可することができます。

    最後に、OpenSSL の更新ごとに、新しい暗号化方式が導入され古い暗号化方式が廃止されます。EC2 の Amazon Linux インスタンスを最新の状態に維持し、セキュリティに関する OpenSSL からの告知に注意して、技術分野の報道でセキュリティ面の新しい脆弱性に関するレポートを警戒してください。詳細については、Elastic Load Balancing ユーザーガイド の「Elastic Load Balancing での事前定義された SSL のセキュリティポリシー」を参照してください。

    次の行について、"#" を削除してコメント解除します。

    Copy
    #SSLHonorCipherOrder on

    このコマンドは、(この場合) 前方秘匿性をサポートするものも含めて、ランクの高い暗号化方式を優先するようサーバーに強制します。このディレクティブが有効になると、サーバーは、セキュリティの弱い暗号化方式に戻る前に、セキュリティが強力な接続を確立しようとします。

    編集した設定ファイルを保存した後、Apache を再起動します。

Qualys SSL Labs でドメインをもう一度テストすると、脆弱性が解決し次のようなレポートが出力されます。

総合評価 A
証明書 100%
プロトコルサポート 95%
キー交換 90%
暗号強度 90%

トラブルシューティング

  • パスワードを指定しないと Apache ウェブサーバーが起動しません。

    これは、パスワードで保護された暗号化プライベート サーバー キーをインストールした場合は正常な動作です。

    その暗号化のキーとパスワードを削除できます。デフォルトディレクトリに custom.key という暗号化プライベート RSA キーがあり、そのパスフレーズが abcde12345 であるとすると、EC2 インスタンスで次のコマンドを実行し、このキーの非暗号化バージョンを生成してください。

    Copy
    [ec2-user ~]$ cd /etc/pki/tls/private/ [ec2-user private]$ sudo cp custom.key custom.key.bak [ec2-user private]$ sudo openssl rsa -in custom.key -passin pass:abcde12345 -out custom.key.nocrypt [ec2-user private]$ sudo mv custom.key.nocrypt custom.key [ec2-user private]$ sudo chown root.root custom.key [ec2-user private]$ sudo chmod 600 custom.key [ec2-user private]$ sudo service httpd restart

    パスワードが求められずに Apache が起動するようになります。