ウェブサーバー経由で証明書を公開する

1. スクリプトを作成する。
   

   スクリプトファイルをCGIが動作可能なディレクトリに作成します。
   ここでは、以下のウェブサーバーのドキュメントルートディレクトリ配下のCGIディレクトリに作成するものとします。
   
   /var/www/html/cgi-bin/public_ca.sh
   
   CGIシェルで記述すると以下のようなイメージです。

   
   

   shの場合

   #!/bin/sh   echo 'Content-Type: application/x-x509-ca-cert' echo '' cat /etc/pki/CA/cacert.pem

   
   

   上記の証明書パスは、各ディストリビューションによって異なります。(プライベート認証局の証明書、サーバー証明書、クライアント証明書の作成方法について )
   [参考]
   CentOS,ScientificLinux → /etc/pki/CA/cacert.pem
   Debian,Ubuntu → /etc/ssl/CA/cacert.pem
   

   一般的に、上記のように証明書をテキストイメージで配布することはしません。DER形式のバイナリイメージで配布します。
   PEM形式 → DER形式変換は、以下のように行うことができます。
   

   $ openssl x509 -inform pem -outform der -in cacert.pem -out cacert.der $ ls- -l ... rw-r--r-- 1 root root 986 3月 14 03:03 2013 cacert.der -rw-r--r-- 1 root root 1391 3月 10 04:50 2013 cacert.pem ...

   ファイルサイズで2/3程度に小さくなりますから、配布する人数が多ければ、それなりにサーバー負荷も軽減されます。
   配布する際は、DER形式で行う方がより良いと思います。
   
   
   
2. スクリプトに実行権を与える。
   

   $ chmod +x /var/www/html/cgi-bin/public_ca.sh

   
   
3. ウェブブラウザからアクセスする。
   

   ウェブブラウザからここでの例では以下のURLへアクセスします。
   http://www.example.com/cgi-bin/public_ca.sh
   
   すると自動的に、証明書のインポート（インストール）画面が表示されます。
   以下は、ウェブブラウザ(FireFox)でCGIシェルへアクセスした時に表示されるダイアログ画面です。
   

   
   
   

#!/usr/bin/php
<?php
 
echo 'Content-Type: application/x-x509-ca-cert'."\n\n";
include '/etc/pki/CA/cacert.pem';
?>

直接証明書をウェブサーバー経由で配布を行うには、ウェブサーバーにてMIMEの登録を行えばよいです。

1. ウェブサーバーにて証明書のMIMEの登録を行う。
   
   • [Apache]の場合
     

     各ディストリビューションでデフォルトでMIME設定するファイルパスが以下のように異なりますが、設定する内容は同じです。
     CentOS,ScientificLinux → /etc/httpd/conf/httpd.conf
     Debian,Ubuntu → /etc/apache2/mods-available/mime.conf
     

     ... AddType application/x-x509-ca-cert .crt .der .pem ...

     拡張子として、.crt .der .pem の３つをここでは登録してみました。
     

     
     
   • [Nginx]の場合
     

     Nginxでは、デフォルトでMIME設定するファイルパスは、以下のようになっています。
     → /etc/nginx/mime.types
     
     このファイルに以下のように追記します。
     

     ... types { ... application/x-x509-ca-cert der pem crt; ... } ...

     拡張子として、.crt .der .pem の３つをここでは登録してみました。
     

     
     
2. ウェブサーバーにて証明書を配置する。
   

   ウェブサーバーのドキュメントルートディレクトリから見えるディレクトリへ、配布したい証明書をコピーします。
   

   • CentOS,ScientificLinux
     

     $ cp /etc/pki/CA/cacert.pem /var/www/html/.

   • Debian,Ubuntu
     

     $ cp /etc/ssl/CA/cacert.pem /var/www/html/.

   上記の例では、
   http://www.exmaple.com/cacert.pem へ直接アクセスすれば、以下のように証明書のインポート画面が表示されると思います。
   

   
   
3. ウェブブラウザからアクセスする。
   

   ウェブブラウザからここでの例では以下のURLへアクセスします。
   http://www.example.com/cacert.pem
   
   すると自動的に、証明書のインポート（インストール）画面が表示されます。
   以下は、ウェブブラウザ(FireFox)で証明書へ直接アクセスした時に表示されるダイアログ画面です。