レンタルサーバー・自宅サーバー設定・構築のヒント
レンタルサーバー・自宅サーバー設定・構築のヒント - レンタルサーバー・自宅サーバーの設定・構築情報を公開しています。

ウェブサーバー経由で証明書を公開する

2013年3月19日 2014年1月11日
apache nginx certificate

プライベート認証局の証明書、サーバー証明書、クライアント証明書の作成方法について で各証明書を作成しました。
それらの証明書は、各使用者へ配布される必要があります。

今回は、その証明書の配布をウェブサーバー経由で行ってみます。

ウェブサーバー経由で各証明書の配布を行う

ウェブサーバー経由で各証明書の配布を行うには、各証明書によってヘッダ情報を送信してあげる必要があります。


  • 認証局の証明書

    → ‘Content-Type: application/x-x509-ca-cert’

  • サーバーの証明書

    → ‘Content-Type: application/x-x509-server-cert’

  • クライアントの証明書

    → ‘Content-Type: application/x-x509-user-cert’


ただ、
サーバーの証明書は、https でアクセスした際に自動的に配布されるものですから、あえてウェブサーバーで公開、配布することはないと思います。
クライアントの証明書は、各クライアントに配布されるべきものであって、広く公開するウェブサーバーでの公開、配布はないと思います。

とすれば、
ウェブサーバー経由で証明書の配布を行うのは、認証局の証明書ぐらいだと思います。
以降に、その認証局の証明書の公開方法を簡単に解説してみます。

スクリプトを使ってウェブサーバー経由で証明書の配布を行う方法

  1. スクリプトを作成する。

    スクリプトファイルをCGIが動作可能なディレクトリに作成します。
    ここでは、以下のウェブサーバーのドキュメントルートディレクトリ配下のCGIディレクトリに作成するものとします。

    /var/www/html/cgi-bin/public_ca.sh

    CGIシェルで記述すると以下のようなイメージです。


    shの場合

    #!/bin/sh
    
    echo 'Content-Type: application/x-x509-ca-cert'
    echo ''
    cat /etc/pki/CA/cacert.pem

    上記の証明書パスは、各ディストリビューションによって異なります。(プライベート認証局の証明書、サーバー証明書、クライアント証明書の作成方法について )
    [参考]
    CentOS,ScientificLinux/etc/pki/CA/cacert.pem
    Debian,Ubuntu/etc/ssl/CA/cacert.pem

    一般的に、上記のように証明書をテキストイメージで配布することはしません。DER形式のバイナリイメージで配布します。
    PEM形式 → DER形式変換は、以下のように行うことができます。
    $ openssl x509 -inform pem -outform der -in cacert.pem -out cacert.der
    $ ls- -l
    ...
    rw-r--r-- 1 root root  986  3月 14 03:03 2013 cacert.der
    -rw-r--r-- 1 root root 1391  3月 10 04:50 2013 cacert.pem
    ...
    ファイルサイズで2/3程度に小さくなりますから、配布する人数が多ければ、それなりにサーバー負荷も軽減されます。
    配布する際は、DER形式で行う方がより良いと思います。

  2. スクリプトに実行権を与える。
    $ chmod +x /var/www/html/cgi-bin/public_ca.sh

  3. ウェブブラウザからアクセスする。

    ウェブブラウザからここでの例では以下のURLへアクセスします。
    http://www.example.com/cgi-bin/public_ca.sh

    すると自動的に、証明書のインポート(インストール)画面が表示されます。
    以下は、ウェブブラウザ(FireFox)でCGIシェルへアクセスした時に表示されるダイアログ画面です。

    CA証明書をインポート


上記のイメージをphpで記述すれば、以下のような感じですかね。

phpの場合

#!/usr/bin/php
<?php

echo 'Content-Type: application/x-x509-ca-cert'."\n\n";
include '/etc/pki/CA/cacert.pem';
?>
これを先のcgi-bin ディレクトリへ放り込めば、同じようにできます。
ただし、拡張子は、php以外を使うことになります。 phpの拡張子を使うと、phpが動作する環境なら html/text として動作してしまうので、ただのダンプ出力されたページが表示されてしまうことがあります。

直接証明書をウェブサーバー経由で配布を行う方法

直接証明書をウェブサーバー経由で配布を行うには、ウェブサーバーにてMIMEの登録を行えばよいです。

  1. ウェブサーバーにて証明書のMIMEの登録を行う。
    • [Apache]の場合

      各ディストリビューションでデフォルトでMIME設定するファイルパスが以下のように異なりますが、設定する内容は同じです。
      CentOS,ScientificLinux/etc/httpd/conf/httpd.conf
      Debian,Ubuntu/etc/apache2/mods-available/mime.conf

      ...
      AddType application/x-x509-ca-cert .crt .der .pem
      ...

      拡張子として、.crt .der .pem の3つをここでは登録してみました。


    • [Nginx]の場合

      Nginxでは、デフォルトでMIME設定するファイルパスは、以下のようになっています。
      /etc/nginx/mime.types

      このファイルに以下のように追記します。

      ...
      types {
         ...
         application/x-x509-ca-cert    der pem crt;
         ...
      }
      ...

      拡張子として、.crt .der .pem の3つをここでは登録してみました。


  2. ウェブサーバーにて証明書を配置する。

    ウェブサーバーのドキュメントルートディレクトリから見えるディレクトリへ、配布したい証明書をコピーします。

    • CentOS,ScientificLinux
      $ cp /etc/pki/CA/cacert.pem /var/www/html/.
    • Debian,Ubuntu
      $ cp /etc/ssl/CA/cacert.pem /var/www/html/.

    上記の例では、
    http://www.exmaple.com/cacert.pem へ直接アクセスすれば、以下のように証明書のインポート画面が表示されると思います。


  3. ウェブブラウザからアクセスする。

    ウェブブラウザからここでの例では以下のURLへアクセスします。
    http://www.example.com/cacert.pem

    すると自動的に、証明書のインポート(インストール)画面が表示されます。
    以下は、ウェブブラウザ(FireFox)で証明書へ直接アクセスした時に表示されるダイアログ画面です。

    CA証明書をインポート


ここでは、あくまでプライベート認証局の証明書についての記述です。
パブリック認証局の証明書は、既にウェブブラウザにインストールされていますから、このような手間は必要ありません。当たり前ですが。
まあ、でも、パブリック認証局で発行されているものは、年間使用量も馬鹿になりませんから、本当にネットショップなどで信用を保障しないといけない場合を除き、よく検討した上で契約しましょう。
参考記事 : SSL認証会社徹底比較

社内向けの暗号化だけなら、プライベート認証局でもOKだと思いますが、先のようにショップなどを考えると、パブリック認証局となりますね。
ご利用のブラウザは、広告ブロック(AdBlockなど) が適用となっていませんか?
このサイトでは、コンテンツの一部が非表示、あるいは、コメント、お問い合わせの投稿ができない検索ができないことがあります。


関連記事 :

Nginx でgzipを使うには

ここまでで、以下のようにapache からnginx への移行するための環境設定について解説してきました。 Nginx でリダイレクト ...

Nginx でSSLを使ってみた(追記:SNIを含めてマルチドメインへの対応)

[追記]最近、格安共有サーバのさくらのレンタルサーバでオプション料金なしで利用できると話題となったSSL接続(SNI)について追記し ...

nginx でKeepAliveを設定してみる

以前に ApacheのKeepAliveを考える で Apache による KeepAlive について記事を書きました。 今回は、その ...

Nginxのproxyでキャッシュを削除する方法

前回「Nginx をリバースプロキシ(キャッシュ) として使ってみた」では、 nginxをリバースプロキシサーバーとして使ってみま ...

CentOS,ScientificLinuxでLAMP(Nginx+MySQL+PHP)インストールからWordPressを動かすまで(Nginx編)

今回は、最短でLAMPインストールし、Wordpressを動かすまでの手順について解説してみたいと思います。 とりあえず、CentOS / S ...



コメントを投稿 :

お名前 *

メールアドレス *
( メールアドレスが公開されることはありません。)

サイトアドレス

コメント *

* 印の項目は、入力が必要な項目です。




最近投稿の記事

[ 画像提供元 : Amazon ] 先日、1TBのディスクの入れ替え時にバックアップをとろうとディスクコピーを行いました。 その際 ...

Windows で Linux ファイルシステム Ext4 のディスクをマウントするには? Ext3Fsd が、おそらく、最も簡単なツール ...

今回は、Windows で Compass を使ってみました。 Compass とは、 Sass(サス、Syntactica ...

今回は、Anti Adblock を使ってみました。 Anti Adblock とは、 そもそも Adblock という ウェブ ...

デスクトップ環境でない サーバーで、Webページのキャプチャー画像をコマンドで撮る には、wkhtmltoimage, CutyCapt ...


さくらのVPS 全プラン リニューアルです。(石狩(北海道)も選択可)


root権限ありで ¥685 / 月 ~ と非常にリーズナブルな CPU 1(core)の 512 プランから、 最高 CPU 10(core), メモリ 32(GB), SSD容量 800(GB) までとプランが充実。
ディスクは、SSDとHDDの選択が可能になった他、データセンターは人気の東京、石狩(北海道)となりました。

また、どのプランでも好きなOSが選べます
( CentOS, Fedora, Scientific Linux, FreeBSD, Ubutu, Debian )

管理人もおすすめのVPSです。
試用期間がありますから、一度、お試しを!!

詳しくは、http://vps.sakura.ad.jp/さくらのVPSのサイトへ へどうぞ!!

カテゴリ


Serverman@VPS 完全1ヶ月無料 キャンペーン実施中です。


Serverman@VPS 完全1ヶ月無料 キャンペーン実施中です。
最近、スワップにも対応した Serverman@VPS は、かなりリーズナブルかもです。

  • メモリ1GB~2GBのEntryプラン :月額:490円
  • メモリ2MB~4GBのStandardプラン :月額:980円
  • メモリ4GB~8GBのProプラン :月額:1,980円

新規申し込みで1ヶ月間完全無料となるキャンペーンを実施中です。
Serverman@VPSの特徴は、安さとIPv6対応です。また、初期設定費0円もポイントです。

IPv6でちょっと遊んでみたい方には、おすすめかもしれませんね。最低利用期間もありませんから、気に入らないときは即解約もできます。

Serverman@VPSの詳細については、 http://dream.jp/vps/ Serverman@VPSのサイトへへどうぞ。



KVM採用 ConoHa VPSは、時間単位で借りれる便利なVPSです。


ConoHa VPS は、初期設定費0円最低利用期間無し時間単位で清算可能、 さらに、Web APIを使って自動化を図ることもできる便利なVPSです。

海外サーバー設置も可能で、ローカル接続にも対応と、かなり、機能豊富なサーバーです。

新規ユーザ登録で、クーポンもらえますから、まずは、お試しですね。

ConoHa VPSの詳細については、
http://www.conoha.jp/ へどうぞ。

KVM採用 お名前.com VPS(KVM) 2G プラン 初期設定費無料 キャンペーン 実施です。


メモリ2GBプラン CPU:3core、Disk:200GB
月額:1,153円から (初期設定:1,680円0円)

さくらのVPSがリニューアルされてもなんのその。
1GBメモリ / 2Core を ¥834 – の格安価格で提供中です!
間違いなくスペックからすると割安感ありです。
年間割引時の途中解約で返金がないのは、 ちょっと残念ですが、それでもこの割安感は魅力です。

まずは、お試しですね。

お名前.com VPS(KVM)の詳細については、
http://www.onamae-server.com/vps/ へどうぞ。(お試し期間が15日あります。)



  • ソーシャルブックマーク

  • はてなブックマークへ追加するはてな登録数
ページトップへ
Time : 0.2872 [s]