レンタルサーバー・自宅サーバー設定・構築のヒント
レンタルサーバー・自宅サーバー設定・構築のヒント - レンタルサーバー・自宅サーバーの設定・構築情報を公開しています。

C5 C6 S6

apache でSSLを使ってみた(クライアント認証編)

2013年3月20日 2014年1月11日
apache security

apache でSSLを使ってみた(基本接続編) では、SSL接続の基本的な設定について解説しました。
今回は、apacheでSSL接続を行い、認証まで行ってみます。
つまり、https:// でアクセスできて、さらに、アクセスできるユーザ(あらかじめ準備したクライアント証明書を持つユーザのみ)を限定してしまう手順について解説します。
(SSL認証の仕組みについては、SSL 認証 の仕組みと OpenVPN の認証の仕組み を参照してください。)

SSL用の証明書作成

apache でSSLを使ってみた(基本接続編)同様、
ここでは、プライベート認証局にて署名されたサーバー証明書を使いたいと思います。
さらに、先の記事では作成しなかったクライアント証明書も作成します。

サーバー証明書の作成は、プライベート認証局の証明書、サーバー証明書、クライアント証明書の作成方法について を参照してください。
(ここでは例として、サーバー証明書作成時の Common Namewww.exmaple.com を指定して作成します。)

また、クライアント証明書の作成は、プライベート認証局の証明書、サーバー証明書、クライアント証明書の作成方法について を参照してください。
(ここでは例として、クライアント証明書作成時の Common Nametaro yamada を指定して作成します。)
クライアント証明書は、秘密鍵を含めた PKCS#12フォーマットのものを使用します。


ここでは、サーバー証明書、秘密鍵ファイルがそれぞれ以下のファイル名で作成されたものとして、以降、記述します。

  • プライベート認証局証明書 → /etc/pki/CA/cacert.pem

    詳しい手順は、 → 証明書を作成する を参照してください。
    以下は、先の記事の手順をかいつまんで解説しています。

    $ cd /etc/pki/tls/
    # プライベート認証局の証明書を作成します。
    # -- あらかじめ openssl-ca.cnf の作成が必要です。
    $ CADAYS="-days 3650" SSLEAY_CONFIG="-config /etc/pki/tls/openssl-ca.cnf" /etc/pki/tls/misc/CA -newca
    ...
    Enter PEM pass phrase:return              # 認証局用パスフレーズ(パスワード)を入力します。
    Verifying - Enter PEM pass phrase:return  # 認証局用パスフレーズ(パスワード)を再入力します。
    ...
    

  • サーバー証明書 → /etc/pki/CA/certs/www.example.com.crt

    詳しい手順は、 → サーバー用の証明書を作成する。 を参照してください。
    以下は、先の記事の手順をかいつまんで解説しています。

    $ cd /etc/pki/tls/
    # サーバー証明書を作成します。
    # -- あらかじめ openssl-server.cnf の作成が必要です。
    $ DAYS="-days 3650" SSLEAY_CONFIG="-config /etc/pki/tls/openssl-server.cnf" /etc/pki/tls/misc/CA -newreq
    ...
    Enter PEM pass phrase:return              # サーバー用のパスフレーズ(パスワード)を入力します。
    Verifying - Enter PEM pass phrase:return  # サーバー用のパスフレーズ(パスワード)を再入力します。
    ...
    Common Name (eg, your name or your server's hostname) []:www.exmple.comreturn  # サイト名--ウェブサーバーで利用する場合は必ずここをサイト名に合わせる
    ...
    # サーバー証明書にプライベート認証局の署名を行います。
    $ SSLEAY_CONFIG="-config /etc/pki/tls/openssl-server.cnf" /etc/pki/tls/misc/CA -sign
    ...
    Enter pass phrase for /etc/.../CA/private/cakey.pem:return  # CA証明書を作成する際に設定したパスフレーズ(パスワード)を入力する
    ...
    # サーバー証明書にファイル名を変更して移動します。
    $ mv /etc/pki/tls/newcert.pem /etc/pki/CA/certs/www.example.com.crt
    

  • サーバー秘密鍵 → /etc/pki/CA/private/www.example.com.key

    サーバー秘密鍵は、先のサーバー証明書を作成した時に作成されます。
    ただ、そのままでは、Apache起動時にパスフレーズ(パスワード)が必要になりますので、それを回避するためにパスフレーズをはずします。

    $ cd /etc/pki/tls/
    # 作成したサーバー用秘密鍵へパスフレーズを埋め込みます。
    $ openssl rsa -in /etc/pki/tls/newkey.pem -out /etc/pki/CA/private/www.example.com.key
    ...
    Enter pass phrase for newkey.pem:return  # サーバー証明書、秘密鍵を作成したときのパスフレーズを入力する
    writing RSA key
    

  • クライアント証明書(PKCS#12) → /etc/pki/CA/private/taro.yamada.example.com.pfx

    このファイルのディレクトリは意味がありません。このファイルは、SSL接続するユーザのウェブブラウザにインストールされなければなりません。(以降で解説します。)
    詳しい手順は、 → クライアント用の証明書を作成する。 を参照してください。
    以下は、先の記事の手順をかいつまんで解説しています。

    $ cd /etc/pki/tls/
    # クライアント証明書を作成します。
    # -- あらかじめ openssl-client.cnf の作成が必要です。
    $ DAYS="-days 3650" SSLEAY_CONFIG="-config /etc/pki/tls/openssl-client.cnf" /etc/pki/tls/misc/CA -newreq
    ...
    Enter PEM pass phrase:return              # クライアント用のパスフレーズ(パスワード)を入力します。
    Verifying - Enter PEM pass phrase:return  # クライアント用のパスフレーズ(パスワード)を再入力します。
    ...
    Common Name (eg, your name or your server's hostname) []:Taro Yamadareturn  # クライアント名
    ...
    # クライアント証明書にプライベート認証局の署名を行います。
    $ SSLEAY_CONFIG="-config /etc/pki/tls/openssl-client.cnf" /etc/pki/tls/misc/CA -sign
    ...
    Enter pass phrase for /etc/.../CA/private/cakey.pem:return  # CA証明書を作成する際に設定したパスフレーズ(パスワード)を入力する
    ...
    # クライアント証明書+秘密鍵からPKCS#12フォーマットへ変換します。
    $ openssl pkcs12 -export -in newcert.pem -inkey newkey.pem -out /etc/pki/CA/private/taro.yamada.example.com.pfx
    ...
    Enter pass phrase for newkey.pem:return    # クライアント証明書を作成した時のパスフレーズ
    Enter Export Password:return               # ここで作成したPCL12ファイルを展開(読み込む)するためのパスフレーズ 
    Verifying - Enter Export Password:return   # --再入力
    ...
    # クライアント証明書のバックアップを作成します。失効時に必要になります。
    $ mv /etc/pki/tls/newcert.pem /etc/pki/CA/client/certs/taro.yamada.example.com.crt
    

各証明書の色の違いは、以下のとおりです。
証明書 : SSL接続共通に必要な証明書です。
証明書 : SSL接続でクライアント認証を行う場合に必要な証明書です。

apache の SSL設定

apache の場合、まずは、SSLモジュールをインストールする必要があります。 以下にモジュールのインストールからapacheの設定まで簡単に解説します。

  1. まずは、SSLモジュールをインストールする。

    まずは、SSLモジュールがインストールされていることが大前提になりますので、確認も含めてインストールしておきます。

    # SSLモジュールがインストールされているか確認します。
    $ rpm -qa|grep mod_ssl
    
    # SSLモジュールがインストールされていないようなので、インストールします。
    $ yum -y install mod_ssl
    ...
    Complete!
    
    # 以下は、ちゃんとSSLモジュールがインストールされたか再確認しています。
    $ rpm -qa|grep mod_ssl
    mod_ssl-2.2.15-15.el6.centos.1.i686

  2. apache の SSL設定する。

    apache のSSL関連の設定は、すべて以下 /etc/httpd/conf.d/ssl.conf で行うことになっています。 以下にデフォルトの設定からの変更イメージを記載します。太字が編集箇所です。


    /etc/httpd/conf.d/ssl.conf

    ...
    ##
    ## SSL Virtual Host Context
    ##
    
    <VirtualHost _default_:443>
    
    # General setup for the virtual host, inherited from global configuration
    DocumentRoot "/var/www/html"	# コメントをはずす
    ServerName www.example.com:443	# コメントをはずす
    
    # Use separate log files for the SSL virtual host; note that LogLevel
    # is not inherited from httpd.conf.
    ErrorLog logs/ssl_error_log
    TransferLog logs/ssl_access_log
    LogLevel warn
    
    #   SSL Engine Switch:
    #   Enable/Disable SSL for this virtual host.
    SSLEngine on
    
    #   SSL Protocol support:
    # List the enable protocol levels with which clients will be able to
    # connect.  Disable SSLv2 access by default:
    SSLProtocol all -SSLv2
    
    #   SSL Cipher Suite:
    # List the ciphers that the client is permitted to negotiate.
    # See the mod_ssl documentation for a complete list.
    SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW
    
    #   Server Certificate:
    # Point SSLCertificateFile at a PEM encoded certificate.  If
    # the certificate is encrypted, then you will be prompted for a
    # pass phrase.  Note that a kill -HUP will prompt again.  A new
    # certificate can be generated using the genkey(1) command.
    #SSLCertificateFile /etc/pki/tls/certs/localhost.crt
    SSLCertificateFile /etc/pki/CA/certs/www.example.com.crt # サーバー証明書のパスを指定
    
    #   Server Private Key:
    #   If the key is not combined with the certificate, use this
    #   directive to point at the key file.  Keep in mind that if
    #   you've both a RSA and a DSA private key you can configure
    #   both in parallel (to also allow the use of DSA ciphers, etc.)
    #SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
    SSLCertificateKeyFile /etc/pki/CA/private/www.example.com.key # サーバー秘密鍵のパスを指定
    ...
    #   Certificate Authority (CA):
    #   Set the CA certificate verification path where to find CA
    #   certificates for client authentication or alternatively one
    #   huge file containing all of them (file must be PEM encoded)
    #SSLCACertificateFile /etc/pki/tls/certs/ca-bundle.crt
    SSLCACertificateFile /etc/pki/CA/cacert.pem # プライベート認証局証明書のパスを指定
    
    #   Client Authentication (Type):
    #   Client certificate verification type and depth.  Types are
    #   none, optional, require and optional_no_ca.  Depth is a
    #   number which specifies how deeply to verify the certificate
    #   issuer chain before deciding the certificate is not valid.
    SSLVerifyClient require # SSL接続時 クライアント証明書を要求するように指定
    SSLVerifyDepth  10 # クライアント証明書を確認する階層レベルを指定(デフォルト10のままでOK)
    ...
    </VirtualHost>

    ここで設定しているのは、以下の必要最小限の項目のみの設定です。

    • DocumentRoot : ドキュメントルート
    • ServerName : サーバー名、ポート番号
    • SSLCertificateFile : サーバー証明書
    • SSLCertificateKeyFile : サーバー秘密鍵
    • SSLCACertificateFile : プライベート認証局証明書
    • SSLVerifyClient : クライアント接続時の認証
    • SSLVerifyDepth : クライアント証明書を確認する階層レベル
    各設定項目の色の違いは、以下のとおりです。
    設定項目 : SSL接続共通に設定が必要な項目です。
    設定項目 : SSL接続でクライアント認証を行う場合に設定が必要な項目です。

    また、ここでの設定は、あくまで必要最小限の設定です。

  3. apacheを再起動する。

    ここまでの設定を終えたら、最後にapacheを再起動します。

    $ /etc/init.d/httpd restart
    httpd を停止中:                                            [  OK  ]
    httpd を起動中:                                            [  OK  ]

FireFox の 設定

最後にウェブブラウザの設定例です。
先にも書いたようにプライベート認証局で署名したものは、デフォルトのウェブブラウザの設定では、警告メッセージが表示されます。 それを回避するためにプライベート認証局の証明書をウェブブラウザに取り込む必要があります。

ここでは、ウェブブラウザのFireFoxのみについて簡単に解説してみます。

CA証明書は、ウェブサーバー経由でインストールすることができます。 詳しくは、ウェブサーバー経由で証明書を公開する を参照してください。
以下は、手動でインストールする方法について解説しています。
  1. CA証明書をインストールする。
    1. CA証明書をコピーする。

      サーバーで作成したプライベート認証局の証明書(CA証明書)をコピーします。
      上記の例でいうと、/etc/pki/CA/cacert.pem になります。
      ファイルの拡張子は、 crt がデフォルトですから、ダウンロードする際に、private_ca.crt へ変更しておきます。


    2. FireFoxのオプション画面を表示する。

      FireFoxの [ メニュー ] – [ オプション ] でオプション画面を表示します。

      FireFox メニューオプション

      FireFoxのオプション画面から、暗号化タブをクリック、証明書を表示…をクリックします。

      FireFox オプション画面

    3. FireFoxの証明書マネージャ画面からCA証明書をインポートする。

      先に手順で、以下のように証明書マネージャ画面が表示されます。認証局証明書タブをクリックし、インポートボタンをクリックします。

      FireFox 証明書マネージャ

      ファイル選択の画面が表示されますので、ここで、先にダウンロードし、ファイル名を変更したCA証明書(private_ca.crt )を選択し、インポートします。
      ファイルが正しく読めたら、以下の確認画面が表示されます。

      FireFox 証明書インポート確認画面

      このチェックは、この認証局で署名された証明書は、どこまで信用しますか?ということです。
      ここは、すべてをチェックしてもOKですが、とりあえず、ウェブサイトの信頼のみ(一番上)を有効とし、OKをクリックします。

      あとは、すべてのオプション関連の画面を抜けて完了です。


  2. クライアント証明書をインストールする。
    1. クライアント証明書(PKCS#12)をコピーする。

      サーバーで作成したクライアント証明書(PKCS#12)をコピーします。
      上記の例でいうと、/etc/pki/CA/private/taro.yamada.example.com.pfx になります。


    2. FireFoxのオプション画面を表示する。

      FireFoxの [ メニュー ] – [ オプション ] でオプション画面を表示します。

      FireFox メニューオプション

      FireFoxのオプション画面から、暗号化タブをクリック、証明書を表示…をクリックします。

      FireFox オプション画面

    3. FireFoxの証明書マネージャ画面からクライアント証明書をインポートする。

      先に手順で、以下のように証明書マネージャ画面が表示されます。あなたの証明書タブをクリックし、インポートボタンをクリックします。

      FireFox 証明書マネージャ

      ファイル選択の画面が表示されますので、ここで、先にダウンロードし、ファイル名を変更したクライアント証明書(taro.yamada.example.com.pfx )を選択し、インポートします。
      この時、パスワードの問い合わせ画面が表示されます。

      FireFox 証明書インポートパスワード画面

      ここで入力するパスワードは、クライアント証明書からPCL12ファイルを作成した時に、設定したパスフレーズ になります。
      パスワード(パスフレーズ)を入力し、OKボタンをクリックします。

      FireFox 証明書インポートパスワード画面

      パスワード(パスフレーズ)が正しければ、上記のようにOK画面が表示されます。

      ファイルが正しくインポートできたら、以下のように証明書作成時にCommon Name に指定した名前が一覧に表示されるはずです。

      FireFox 証明書インポート画面

      これでOKです。あとは、すべてのオプション関連の画面を抜けて完了です。


  3. 最後に https でアクセスしてみる。

    最後に https でアクセスしてみましょう。
    最初のアクセス時に、以下のようにFirefoxの場合、クライアント証明書の選択画面が表示されるはずです。

    FireFox 証明書選択画面

    この画面は、
    「サーバーから認証のためにクライアント証明書を求められていますが、どのクライアント証明書を送付しますか?」

    というものです。
    この例では、1つしかないのでそれを選択すればOKです。複数ある場合は、証明書の詳細内容から確認し、該当するクライアント証明書を選択し、OKボタンをクリックします。

    警告メッセージが表示されずに、以下のようにアドレスバーに鍵マークが表示されればOKです。

    FireFox アドレスバー
    鍵マークが灰色と緑色の違いは、
    灰色が、通常の証明書によるSSL接続であるのに対して
    緑色が、EV 証明書によるより厳格な認証手続きを行った上でSSL接続していることを意味します。
    SSL接続時、以下のようなエラーが表示されることがあります。
    • 接続がリセットされました。
      FireFox エラー1

      このエラーは、単純にクライアント証明書がインストールされていない場合に出力されることがあります。
      再度、クライアント証明書のインストールを行ってみてください。


    • 安全な接続ができませんでした。
      FireFox エラー2

      このエラーは、認証局をたどれない(エラーコード : ssl_error_unknown_ca_alert)というエラーです。
      /etc/httpd/conf.d/ssl.conf の設定で、
      SSLCACertificateFile の設定が正しく行えていない場合に出力されることがあります。
      再度、apacheのSSLの設定を見直して行ってみてください。



今回設定例では、クライアント証明書を使った認証を行ってみました。
これで、よりセキュアにはなりましたが、このクライアント証明書はコピーできますから、この証明書が外部に漏れる可能性もあります。 扱いには十分に注意が必要です。
ご利用のブラウザは、広告ブロック(AdBlockなど) が適用となっていませんか?
このサイトでは、コンテンツの一部が非表示、あるいは、コメント、お問い合わせの投稿ができない検索ができないことがあります。


関連記事 :

apache でSSLを使ってみた(基本接続編)

Nginx でSSLを使ってみた(追記:SNIを含めてマルチドメインへの対応) では、nginxを使って簡単にSSL接続してみました。 今回は ...

apache でSSLを使ってみた(クライアント証明書失効編)

apache でSSLを使ってみた(クライアント認証編) では、SSL接続のクライアント証明書を使った認証までを解説しました。 今回は、先のク ...

プライベート認証局の証明書、サーバー証明書、クライアント証明書の作成方法について

このサイトでもSSL関連の記事も増えてきました。SSLを使うためには、SSL用の各証明書が必要になります。 その作成手順が、各ツールでバラバラ ...

mysqlでSSL接続する

mysqlでは、SSL接続にて情報を暗号化することができます。 少なくとも、CentOS,ScientificLinux,Debian,Ubu ...

Nginx でSSLを使ってみた(追記:SNIを含めてマルチドメインへの対応)

[追記]最近、格安共有サーバのさくらのレンタルサーバでオプション料金なしで利用できると話題となったSSL接続(SNI)について追記し ...



コメントを投稿 :

お名前 *

メールアドレス *
( メールアドレスが公開されることはありません。)

サイトアドレス

コメント *

* 印の項目は、入力が必要な項目です。




最近投稿の記事

[ 画像提供元 : Amazon ] 先日、1TBのディスクの入れ替え時にバックアップをとろうとディスクコピーを行いました。 その際 ...

Windows で Linux ファイルシステム Ext4 のディスクをマウントするには? Ext3Fsd が、おそらく、最も簡単なツール ...

今回は、Windows で Compass を使ってみました。 Compass とは、 Sass(サス、Syntactica ...

今回は、Anti Adblock を使ってみました。 Anti Adblock とは、 そもそも Adblock という ウェブ ...

デスクトップ環境でない サーバーで、Webページのキャプチャー画像をコマンドで撮る には、wkhtmltoimage, CutyCapt ...


さくらのVPS 全プラン リニューアルです。(石狩(北海道)も選択可)


root権限ありで ¥685 / 月 ~ と非常にリーズナブルな CPU 1(core)の 512 プランから、 最高 CPU 10(core), メモリ 32(GB), SSD容量 800(GB) までとプランが充実。
ディスクは、SSDとHDDの選択が可能になった他、データセンターは人気の東京、石狩(北海道)となりました。

また、どのプランでも好きなOSが選べます
( CentOS, Fedora, Scientific Linux, FreeBSD, Ubutu, Debian )

管理人もおすすめのVPSです。
試用期間がありますから、一度、お試しを!!

詳しくは、http://vps.sakura.ad.jp/さくらのVPSのサイトへ へどうぞ!!

カテゴリ


Serverman@VPS 完全1ヶ月無料 キャンペーン実施中です。


Serverman@VPS 完全1ヶ月無料 キャンペーン実施中です。
最近、スワップにも対応した Serverman@VPS は、かなりリーズナブルかもです。

  • メモリ1GB~2GBのEntryプラン :月額:490円
  • メモリ2MB~4GBのStandardプラン :月額:980円
  • メモリ4GB~8GBのProプラン :月額:1,980円

新規申し込みで1ヶ月間完全無料となるキャンペーンを実施中です。
Serverman@VPSの特徴は、安さとIPv6対応です。また、初期設定費0円もポイントです。

IPv6でちょっと遊んでみたい方には、おすすめかもしれませんね。最低利用期間もありませんから、気に入らないときは即解約もできます。

Serverman@VPSの詳細については、 http://dream.jp/vps/ Serverman@VPSのサイトへへどうぞ。



KVM採用 ConoHa VPSは、時間単位で借りれる便利なVPSです。


ConoHa VPS は、初期設定費0円最低利用期間無し時間単位で清算可能、 さらに、Web APIを使って自動化を図ることもできる便利なVPSです。

海外サーバー設置も可能で、ローカル接続にも対応と、かなり、機能豊富なサーバーです。

新規ユーザ登録で、クーポンもらえますから、まずは、お試しですね。

ConoHa VPSの詳細については、
http://www.conoha.jp/ へどうぞ。

KVM採用 お名前.com VPS(KVM) 2G プラン 初期設定費無料 キャンペーン 実施です。


メモリ2GBプラン CPU:3core、Disk:200GB
月額:1,153円から (初期設定:1,680円0円)

さくらのVPSがリニューアルされてもなんのその。
1GBメモリ / 2Core を ¥834 – の格安価格で提供中です!
間違いなくスペックからすると割安感ありです。
年間割引時の途中解約で返金がないのは、 ちょっと残念ですが、それでもこの割安感は魅力です。

まずは、お試しですね。

お名前.com VPS(KVM)の詳細については、
http://www.onamae-server.com/vps/ へどうぞ。(お試し期間が15日あります。)



  • ソーシャルブックマーク

  • はてなブックマークへ追加するはてな登録数
ページトップへ
Time : 0.2442 [s]