SSLの設定

LINEで送る
Pocket

今回はこのサイトにSSLの設定をします。

ブログ更新時のセキュリティの向上とこの先のことを考慮してのことです。

手順としては基本てもぐさんのところを参考にしてますが、自分の備忘録を兼ねてメモメモ。

■本来のSSLの導入には
 1.sslモジュールのインストール
 2.CA用秘密鍵(ca.key)の作成
 3.CA用証明書(ca.crt)の作成
 4.サーバ用秘密鍵(server.key)の作成
 5.署名要求書(server.csr)の作成
 6.サーバ用証明書(server.crt)の作成
 7.ブラウザインポート用のバイナリDERフォーマット(ca.der)の作成
 8.作成した各ファイルの所有権変更
 9.ssl設定ファイルの変更
 10.apacheの再起動
 11.クライアントへのCA証明書インストール
 
という手順が必要という認識ですが、自分しか使わないので認証機関の証明書(CA証明書)は作りません。(お値段も張るし)
 
よって今回の手順は
 1.sslモジュールのインストール
 4.サーバ用秘密鍵(server.key)の作成
 6.サーバ用証明書(server.crt)の作成
 7′.インポート用SSL証明書の作成
 9.ssl設定ファイルの変更
 10.apacheの再起動
 
だけで良いというのが私の理解ですが、間違っているかもしれません。(汗;

 本来は証明機関でCA証明書を取得してクライアントにその証明書を入れて、サーバーとやり取りする 際に証明機関にその妥当性を確認しに行く手順が入るはずですが、その部分をはしょるということですね。
 
 証明書をそのサーバー自身が発行するのでオレオレ証明書。
 
 つまり、「正式にはまったく意味のない証明書」ですが、クライアントーサーバー間通信を 暗号化するだけが目的で、管理者である私しか使わないので今回の使い方に限ってはぎりぎりOK。(なのか?)
 
 何とも理解不足な気がしますが、理解できたら後で直すことにします。

前準備

まずはgccのインストールから

# yum install gcc

手順:mod_sslのインストール

# yum list mod_ssl

で確認したらインストールされていました。

手順:サーバ用秘密鍵(server.key)の作成

# cd /etc/pki/tls/certs
# make server.key
Enter pass phrase: パスワード入力
Verifying – Enter pass phrase: 上で入れたパスワード再入力

パスワードなしでapacheを起動したいので下記の設定をしておきます。

openssl rsa -in server.key -out server.key

手順:サーバ用証明書(server.crt)の作成

make server.csr
Country Name (2 letter code) [XX]:JP
State or Province Name (full name) []:
Locality Name (eg, city) [Default City]:Tokyo
Organization Name (eg, company) [Default Company Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server’s hostname) []:seigaji.info
Email Address []:
A challenge password []:
An optional company name []:

手順:インポート用SSL証明書の作成

# openssl x509 -in server.csr -out server.pem -req -signkey server.key -days 3650
# openssl x509 -in server.pem -outform DER -out server.der

秘密鍵や証明書のパーミッションを変更しておきます。

chmod 400 server.key
chmod 400 server.csr
chmod 400 server.pem

ssl設定ファイルの変更

# vi /etc/httpd/conf.d/ssl.conf
#DocumentRoot “/var/www/html”
DocumentRoot “/var/www/html” ←コメントアウトを外す。

前 SSLCertificateFile /etc/pki/tls/certs/localhost.crt
後 SSLCertificateFile /etc/pki/tls/certs/server.pem に変更

前 SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
後 SSLCertificateFile /etc/pki/tls/certs/server.key に変更

apacheの再起動

設定を反映させるためにapacheを再起動

/etc/init.d/httpd restart

ブラウザでアクセスしてみる

130907_01
当然のことながら警告が出ますが、「危険性を理解した上で接続するには」をクリックして例外を追加します。
130907_02
とりあえず今日はここまで。



LINEで送る
Pocket