inexio(アイネクシオ)

私たちはネットワークから新しいアイデアを創出します

【SSL/TLS】PositiveSSLの設定

   

昨年(2014年)ですが、Googleが「HTTPS をランキング シグナルに使用します 」と発表して、より一層SSL/TLSの必要が出てきました気がします。まぁ実質Google云々はどうでも良くて、セキュリティ意識が向上することは良いことですよね。
解析しにくくなるとか言う話もチラホラ聞きますが、利用者にとってはまったく関係なく、安全に利用できるのであればそれが一番。
※SSL/TLSがであれば必ず安全ということではないですよ!

その価値には賛否ありますが、まずは費用を抑えつつHTTPSな環境を整えるとして、PositiveSSLを元に設定方法を記載します。

条件

  • WebサーバはApache
  • OpenSSLが利用可能
  • Common Name は ●●●.com
  • 作業ディレクトリは /etc/pki/tls/private/

秘密鍵の作成

まずは秘密鍵を作成します。
パスフレーズがある場合と、パスフレーズがない場合のどちらかで進めます。

パスフレーズなしで鍵長2048bit

# openssl genrsa -out server.key 2048

パスフレーズありで鍵長2048bit

# openssl genrsa -des3 -out server.key 2048

CSRの作成

認証機関に送るCSRを作成します。
注意点はCommon Nameに「www」を付けるか付けないかくらいでしょうか。
あとは何も迷うことはありません、楽勝ですね。
ここではアイネクシオの住所を例としていきます。

# openssl req -new -key server.key -out server.csr

Country Name (2 letter code) [XX]:JP
State or Province Name (full name) []:Yamanashi
Locality Name (eg, city) [Default City]:Kofu
Organization Name (eg, company) [Default Company Ltd]:inexio
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:●●●.com
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

簡単に上記の説明を書いておきます。

Country Name (2 letter code) [XX]:JP
国名を表す2文字のISO省略語を入力します。
日本であればJPですね。

State or Province Name (full name) []:Yamanashi
所在都道府県を入力します。

Locality Name (eg, city) [Default City]:Kofu
所在市区町村名を入力します。

Organization Name (eg, company) [Default Company Ltd]:inexio
正式な会社名、組織名を入力します。

Organizational Unit Name (eg, section) []:
部署名などを入力します。
任意なので適当にお願いします。

Common Name (eg, your name or your server's hostname) []:●●●.com
証明書を導入するサイトのFQDNを入力します。
ワイルドカードな場合は「*.●●●.com」とすることで幸せになれる。

ここから先は以下がありますが、何も入力せずにエンターキーだけで問題ないですね。
Email Address []:
A challenge password []:
An optional company name []:

CSRを入力して証明書を受信

作成したCSRを指定のURLから入力し、Comodo社からの連絡を待ちます。
ここではメールで受信する流れを簡単に書いておきます。
証明書類がZIPファイルで送られてくることに注意ですかね。

  • 指定URLからCSRを入力する
  • 管理者宛(admin@●●●.comなど)に「validation codeを入力しろ」とメールが届くので従う
  • 技術者宛に証明書と中間証明書のZIP圧縮ファイルが届く

まとめ

あとはApacheでの設定になります。
証明書を「SSLCertificateFile」、中間証明書を「SSLCACertificateFile」に設定すれば完了です。

 - Webサービス ,