h2o 解決!SSL時でのエラーについて

Pocket

h2oでSSL接続した時にエラーがでて接続できなかった問題
h2o SSLで接続するようにしたが・・・

という記事を書いたが、その後
やっぱり分からなかったので
h2oのissueに上げてみたところ
@kazuhoさんから下記の返答が来た

You must not use a password-protected private key file. They offer basically no advantage (on hiding the private key), while making it hard to administer the servers.
Assuming that you are a Japanese, a good guide to remove the password can be found https://www.digicert.ne.jp/howto/basis/decrypt_key.html.
※ issue#456の@kazuhoさんの返答から引用

秘密鍵ファイルにパフレーズで保護したら使えませんよとの事
この解除のやりかたの参考URLまで教えていただいたので
さっそく解除してみた
(必ずバックアップは取っておく)

# openssl rsa -in server.key -out server.key

そしてconfigtest

# service h2o configtest
h2o [OCSP Stapling] testing for certificate file:/etc/pki/tls/certs/negima.mobi.pem
fetch-ocsp-response (using OpenSSL 1.0.1e-fips 11 Feb 2013)
sending OCSP request to http://gv.symcd.com
/etc/pki/tls/certs/negima.mobi.pem: good
        This Update: Aug 22 10:14:50 2015 GMT
        Next Update: Aug 29 10:14:50 2015 GMT
verifying the response signature
verify OK (used: -VAfile /tmp/sk96aqR77K/issuer.crt)
[OCSP Stapling] stapling works for file:/etc/pki/tls/certs/negima.mobi.pem
[OCSP Stapling] testing for certificate file:/etc/pki/tls/certs/negima.mobi.pem
fetch-ocsp-response (using OpenSSL 1.0.1e-fips 11 Feb 2013)
sending OCSP request to http://gv.symcd.com
/etc/pki/tls/certs/negima.mobi.pem: good
        This Update: Aug 22 10:14:50 2015 GMT
        Next Update: Aug 29 10:14:50 2015 GMT
verifying the response signature
verify OK (used: -VAfile /tmp/kr_t6HTxTa/issuer.crt)
[OCSP Stapling] stapling works for file:/etc/pki/tls/certs/negima.mobi.pem
configuration OK
                                                           [  OK  ]

パスフレーズも聞かれなくなった
nginx→h2oに変えて起動
動いた!!!!
これで完全にnginxからh2oへ切り替える事ができました!!!

正直、秘密鍵のパスフレーズ解除できるとは知りませんでした・・・
ApacheだとSSLPassPhraseDialog使って対応できる事は知っていたけど

ご回答いただいた@kazuhoさんありがとうございました!

h2o 解決!SSL時でのエラーについて
Tagged on: