レンタルサーバー・自宅サーバー設定・構築のヒント
レンタルサーバー・自宅サーバー設定・構築のヒント - レンタルサーバー・自宅サーバーの設定・構築情報を公開しています。

C5 C6 S6

apache でSSLを使ってみた(基本接続編)

2013年1月20日 2014年1月11日
apache security

Nginx でSSLを使ってみた(追記:SNIを含めてマルチドメインへの対応) では、nginxを使って簡単にSSL接続してみました。
今回は、apacheでSSLを使ってみます。
つまり、https:// でアクセスできるようするということです。
(SSL認証の仕組みについては、SSL 認証 の仕組みと OpenVPN の認証の仕組み を参照してください。)

Nginx でSSLを使ってみた(追記:SNIを含めてマルチドメインへの対応) では、認証局を意識せずに行った最も簡単な手順で解説しました。
今回は、認証局を意識し、認証局の証明書をウェブブラウザに組み込むことで警告メッセージを出さないような手順も含めて解説してみます。

SSL用のサーバー証明書作成

ここでは、プライベート認証局にて署名されたサーバー証明書を使いたいと思います。

サーバー証明書の作成は、プライベート認証局の証明書、サーバー証明書、クライアント証明書の作成方法について を参照してください。
(ここでは例として、サーバー証明書作成時の Common Namewww.exmaple.com を指定して作成します。)


ここでは、サーバー証明書、秘密鍵ファイルがそれぞれ以下のファイル名で作成されたものとして、以降、記述します。

  • プライベート認証局証明書 → /etc/pki/CA/cacert.pem

    詳しい手順は、 → 証明書を作成する を参照してください。
    以下は、先の記事の手順をかいつまんで解説しています。

    $ cd /etc/pki/tls/
    # プライベート認証局の証明書を作成します。
    # -- あらかじめ openssl-ca.cnf の作成が必要です。
    $ CADAYS="-days 3650" SSLEAY_CONFIG="-config /etc/pki/tls/openssl-ca.cnf" /etc/pki/tls/misc/CA -newca
    ...
    Enter PEM pass phrase:return              # 認証局用パスフレーズ(パスワード)を入力します。
    Verifying - Enter PEM pass phrase:return  # 認証局用パスフレーズ(パスワード)を再入力します。
    ...
    

  • サーバー証明書 → /etc/pki/CA/certs/www.example.com.crt

    詳しい手順は、 → サーバー用の証明書を作成する。 を参照してください。
    以下は、先の記事の手順をかいつまんで解説しています。

    $ cd /etc/pki/tls/
    # サーバー証明書を作成します。
    # -- あらかじめ openssl-server.cnf の作成が必要です。
    $ DAYS="-days 3650" SSLEAY_CONFIG="-config /etc/pki/tls/openssl-server.cnf" /etc/pki/tls/misc/CA -newreq
    ...
    Enter PEM pass phrase:return              # サーバー用のパスフレーズ(パスワード)を入力します。
    Verifying - Enter PEM pass phrase:return  # サーバー用のパスフレーズ(パスワード)を再入力します。
    ...
    Common Name (eg, your name or your server's hostname) []:www.exmple.comreturn  # サイト名--ウェブサーバーで利用する場合は必ずここをサイト名に合わせる
    ...
    # サーバー証明書にプライベート認証局の署名を行います。
    $ SSLEAY_CONFIG="-config /etc/pki/tls/openssl-server.cnf" /etc/pki/tls/misc/CA -sign
    ...
    Enter pass phrase for /etc/.../CA/private/cakey.pem:return  # CA証明書を作成する際に設定したパスフレーズ(パスワード)を入力する
    ...
    # サーバー証明書にファイル名を変更して移動します。
    $ mv /etc/pki/tls/newcert.pem /etc/pki/CA/certs/www.example.com.crt
    

  • サーバー秘密鍵 → /etc/pki/CA/private/www.example.com.key

    サーバー秘密鍵は、先のサーバー証明書を作成した時に作成されます。
    ただ、そのままでは、Apache起動時にパスフレーズ(パスワード)が必要になりますので、それを回避するためにパスフレーズをはずします。

    $ cd /etc/pki/tls/
    # 作成したサーバー用秘密鍵へパスフレーズを埋め込みます。
    $ openssl rsa -in /etc/pki/tls/newkey.pem -out /etc/pki/CA/private/www.example.com.key
    ...
    Enter pass phrase for newkey.pem:return  # サーバー証明書、秘密鍵を作成したときのパスフレーズを入力する
    writing RSA key
    


apache の SSL設定

apache の場合、まずは、SSLモジュールをインストールする必要があります。 以下にモジュールのインストールからapacheの設定まで簡単に解説します。

  1. まずは、SSLモジュールをインストールする。

    まずは、SSLモジュールがインストールされていることが大前提になりますので、確認も含めてインストールしておきます。

    # SSLモジュールがインストールされているか確認します。
    $ rpm -qa|grep mod_ssl
    
    # SSLモジュールがインストールされていないようなので、インストールします。
    $ yum -y install mod_ssl
    ...
    Complete!
    
    # 以下は、ちゃんとSSLモジュールがインストールされたか再確認しています。
    $ rpm -qa|grep mod_ssl
    mod_ssl-2.2.15-15.el6.centos.1.i686

  2. apache の SSL設定する。

    apache のSSL関連の設定は、すべて以下 /etc/httpd/conf.d/ssl.conf で行うことになっています。 以下にデフォルトの設定からの変更イメージを記載します。太字が編集箇所です。


    /etc/httpd/conf.d/ssl.conf

    ...
    ##
    ## SSL Virtual Host Context
    ##
    
    <VirtualHost _default_:443>
    
    # General setup for the virtual host, inherited from global configuration
    DocumentRoot "/var/www/html"	# コメントをはずす
    ServerName www.example.com:443	# コメントをはずす
    
    # Use separate log files for the SSL virtual host; note that LogLevel
    # is not inherited from httpd.conf.
    ErrorLog logs/ssl_error_log
    TransferLog logs/ssl_access_log
    LogLevel warn
    
    #   SSL Engine Switch:
    #   Enable/Disable SSL for this virtual host.
    SSLEngine on
    
    #   SSL Protocol support:
    # List the enable protocol levels with which clients will be able to
    # connect.  Disable SSLv2 access by default:
    SSLProtocol all -SSLv2
    
    #   SSL Cipher Suite:
    # List the ciphers that the client is permitted to negotiate.
    # See the mod_ssl documentation for a complete list.
    SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW
    
    #   Server Certificate:
    # Point SSLCertificateFile at a PEM encoded certificate.  If
    # the certificate is encrypted, then you will be prompted for a
    # pass phrase.  Note that a kill -HUP will prompt again.  A new
    # certificate can be generated using the genkey(1) command.
    #SSLCertificateFile /etc/pki/tls/certs/localhost.crt
    SSLCertificateFile /etc/pki/CA/certs/www.example.com.crt # サーバー証明書のパスを指定
    
    #   Server Private Key:
    #   If the key is not combined with the certificate, use this
    #   directive to point at the key file.  Keep in mind that if
    #   you've both a RSA and a DSA private key you can configure
    #   both in parallel (to also allow the use of DSA ciphers, etc.)
    #SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
    SSLCertificateKeyFile /etc/pki/CA/private/www.example.com.key # サーバー秘密鍵のパスを指定
    ...
    </VirtualHost>

    ここで設定しているのは、以下の必要最小限の項目のみの設定です。

    • DocumentRoot : ドキュメントルート
    • ServerName : サーバー名、ポート番号
    • SSLCertificateFile : サーバー証明書
    • SSLCertificateKeyFile : サーバー秘密鍵
    ここでの設定は、あくまで必要最小限の設定です。

  3. apacheを再起動する。

    ここまでの設定を終えたら、最後にapacheを再起動します。

    $ /etc/init.d/httpd restart
    httpd を停止中:                                            [  OK  ]
    httpd を起動中:                                            [  OK  ]

FireFox の 設定

最後にウェブブラウザの設定例です。
先にも書いたようにプライベート認証局で署名したものは、デフォルトのウェブブラウザの設定では、警告メッセージが表示されます。 それを回避するためにプライベート認証局の証明書をウェブブラウザに取り込む必要があります。

ここでは、ウェブブラウザのFireFoxのみについて簡単に解説してみます。

CA証明書は、ウェブサーバー経由でインストールすることができます。 詳しくは、ウェブサーバー経由で証明書を公開する を参照してください。
以下は、手動でインストールする方法について解説しています。
  1. まずは、CA証明書をコピーする。

    サーバーで作成したプライベート認証局の証明書(CA証明書)をコピーします。
    上記の例でいうと、/etc/pki/CA/cacert.pem になります。
    ファイルの拡張子は、 crt がデフォルトですから、ダウンロードする際に、private_ca.crt へ変更しておきます。


  2. FireFoxのオプション画面を表示する。

    FireFoxの [ メニュー ] – [ オプション ] でオプション画面を表示します。

    FireFox メニューオプション

    FireFoxのオプション画面から、暗号化タブをクリック、証明書を表示…をクリックします。

    FireFox オプション画面

  3. FireFoxの証明書マネージャ画面からCA証明書をインポートする。

    先に手順で、以下のように証明書マネージャ画面が表示されます。認証局証明書タブをクリックし、インポートボタンをクリックします。

    FireFox 証明書マネージャ

    ファイル選択の画面が表示されますので、ここで、先にダウンロードし、ファイル名を変更したCA証明書(private_ca.crt )を選択し、インポートします。
    ファイルが正しく読めたら、以下の確認画面が表示されます。

    FireFox 証明書インポート確認画面

    このチェックは、この認証局で署名された証明書は、どこまで信用しますか?ということです。
    ここは、すべてをチェックしてもOKですが、とりあえず、ウェブサイトの信頼のみ(一番上)を有効とし、OKをクリックします。

    あとは、すべてのオプション関連の画面を抜けて完了です。


  4. 最後に https でアクセスしてみる。

    最後に https でアクセスしてみましょう。
    警告メッセージが表示されずに、以下のようにアドレスバーに鍵マークが表示されればOKです。

    FireFox アドレスバー
    鍵マークが灰色と緑色の違いは、
    灰色が、通常の証明書によるSSL接続であるのに対して
    緑色が、EV 証明書によるより厳格な認証手続きを行った上でSSL接続していることを意味します。

今回設定例では、基本的な設定のみで、残りはデフォルトの動作になります。

今回は、認証局の証明書を意識的に作成してみました。そのCA証明書を正しくブラウザに取り込む(インポート)ことができれば、 プライベート認証局であっても警告メッセージをユーザに見せることなく安全なSSL接続が可能になります。

やっぱり、以下のような警告ページが表示されてしまうと、本当に大丈夫かなぁと思ってしまいますよね。
SSL警告

この警告メッセージの回避方法は、いろいろあると思いますが、今回のやり方が、たぶんスマートなのかなぁとも思います。あくまで既知の利用者の範囲ですが。

不特定多数の利用者への対応は、パブリック認証局を利用すべきだろうと思います。先の警告を見て、そのサイトを覗いてみようかと思う人は少ないでしょうからね。
ご利用のブラウザは、広告ブロック(AdBlockなど) が適用となっていませんか?
このサイトでは、コンテンツの一部が非表示、あるいは、コメント、お問い合わせの投稿ができない検索ができないことがあります。


関連記事 :

apache でSSLを使ってみた(クライアント認証編)

apache でSSLを使ってみた(基本接続編) では、SSL接続の基本的な設定について解説しました。 今回は、apacheでSSL接続を行い ...

apache でSSLを使ってみた(クライアント証明書失効編)

apache でSSLを使ってみた(クライアント認証編) では、SSL接続のクライアント証明書を使った認証までを解説しました。 今回は、先のク ...

プライベート認証局の証明書、サーバー証明書、クライアント証明書の作成方法について

このサイトでもSSL関連の記事も増えてきました。SSLを使うためには、SSL用の各証明書が必要になります。 その作成手順が、各ツールでバラバラ ...

Nginx でSSLを使ってみた(追記:SNIを含めてマルチドメインへの対応)

[追記]最近、格安共有サーバのさくらのレンタルサーバでオプション料金なしで利用できると話題となったSSL接続(SNI)について追記し ...

CentOS,ScientificLinuxで(L)AMP(Apache,MySQL,PHP)インストールからEC-CUBEを動かすまで

CentOS,ScientificLinuxでLAMP(Apache+MySQL+PHP)インストールからWordPressを動かすまで(Apa ...



コメントを投稿 :

お名前 *

メールアドレス *
( メールアドレスが公開されることはありません。)

サイトアドレス

コメント *

* 印の項目は、入力が必要な項目です。




最近投稿の記事

[ 画像提供元 : Amazon ] 先日、1TBのディスクの入れ替え時にバックアップをとろうとディスクコピーを行いました。 その際 ...

Windows で Linux ファイルシステム Ext4 のディスクをマウントするには? Ext3Fsd が、おそらく、最も簡単なツール ...

今回は、Windows で Compass を使ってみました。 Compass とは、 Sass(サス、Syntactica ...

今回は、Anti Adblock を使ってみました。 Anti Adblock とは、 そもそも Adblock という ウェブ ...

デスクトップ環境でない サーバーで、Webページのキャプチャー画像をコマンドで撮る には、wkhtmltoimage, CutyCapt ...


さくらのVPS 全プラン リニューアルです。(石狩(北海道)も選択可)


root権限ありで ¥685 / 月 ~ と非常にリーズナブルな CPU 1(core)の 512 プランから、 最高 CPU 10(core), メモリ 32(GB), SSD容量 800(GB) までとプランが充実。
ディスクは、SSDとHDDの選択が可能になった他、データセンターは人気の東京、石狩(北海道)となりました。

また、どのプランでも好きなOSが選べます
( CentOS, Fedora, Scientific Linux, FreeBSD, Ubutu, Debian )

管理人もおすすめのVPSです。
試用期間がありますから、一度、お試しを!!

詳しくは、http://vps.sakura.ad.jp/さくらのVPSのサイトへ へどうぞ!!

カテゴリ


Serverman@VPS 完全1ヶ月無料 キャンペーン実施中です。


Serverman@VPS 完全1ヶ月無料 キャンペーン実施中です。
最近、スワップにも対応した Serverman@VPS は、かなりリーズナブルかもです。

  • メモリ1GB~2GBのEntryプラン :月額:490円
  • メモリ2MB~4GBのStandardプラン :月額:980円
  • メモリ4GB~8GBのProプラン :月額:1,980円

新規申し込みで1ヶ月間完全無料となるキャンペーンを実施中です。
Serverman@VPSの特徴は、安さとIPv6対応です。また、初期設定費0円もポイントです。

IPv6でちょっと遊んでみたい方には、おすすめかもしれませんね。最低利用期間もありませんから、気に入らないときは即解約もできます。

Serverman@VPSの詳細については、 http://dream.jp/vps/ Serverman@VPSのサイトへへどうぞ。



KVM採用 ConoHa VPSは、時間単位で借りれる便利なVPSです。


ConoHa VPS は、初期設定費0円最低利用期間無し時間単位で清算可能、 さらに、Web APIを使って自動化を図ることもできる便利なVPSです。

海外サーバー設置も可能で、ローカル接続にも対応と、かなり、機能豊富なサーバーです。

新規ユーザ登録で、クーポンもらえますから、まずは、お試しですね。

ConoHa VPSの詳細については、
http://www.conoha.jp/ へどうぞ。

KVM採用 お名前.com VPS(KVM) 2G プラン 初期設定費無料 キャンペーン 実施です。


メモリ2GBプラン CPU:3core、Disk:200GB
月額:1,153円から (初期設定:1,680円0円)

さくらのVPSがリニューアルされてもなんのその。
1GBメモリ / 2Core を ¥834 – の格安価格で提供中です!
間違いなくスペックからすると割安感ありです。
年間割引時の途中解約で返金がないのは、 ちょっと残念ですが、それでもこの割安感は魅力です。

まずは、お試しですね。

お名前.com VPS(KVM)の詳細については、
http://www.onamae-server.com/vps/ へどうぞ。(お試し期間が15日あります。)



  • ソーシャルブックマーク

  • はてなブックマークへ追加するはてな登録数
ページトップへ
Time : 0.2447 [s]