Help us understand the problem. What is going on with this article?

初めてのSSL証明書作成(CoreSSL)と、Apacheに組み込んでSSLチェックツールで「A」とるまでのながれ

SSL証明書

httpsで通信する場合は、SSLサーバ証明書がいるのですがね、ってもうここらへんは釈迦に説法って感じなので説明を省きますが、オレオレ証明書を自分管理の公開ドメインで使っているのは、曲がり形にもエンジニアとしてどうかなって思ったので、重い腰を上げてSSL証明書取得~組み込みまで作業してみた。
と、いつもの自分備忘録なんです(^^

ちょっとやばかった、SSLチェックツール

何気なしに「SSLチェックツール」つーのを試してみたら「F」判定。オレオレ証明書やっぱりやばいなと(笑)。まあだれも攻撃してこないだろうけど踏み台、いや攻撃BOTになってたら洒落にならんよね。

SSL証明書のインストールチェックはどのサイトを利用すべきか

国内格安SSL証明書事情

990円/年~ ってありますが代理店経由なので、ここらは為替レートに依存するみたいでタイミングでしょうかね。安いSSL証明書は、申請ベースなのでなんと言うか公的に証明され…まあ、ここらは個人サイトなのでいいでしょう。ってことで CoreSSLが3年で 990円/年 だったので決めました(英語読めればもっと安いとこありますw)。

SSL BOX
SSL ストア

導入手順

話がなげーんだよ。って。感じですよね。
手順があったのでそれを参考にしながら、進めます。

秘密鍵の作成

openssl をインストールしときます。パスフレーズの入力が面倒なので秘密鍵の暗号化なし、2048 ビット以上の鍵長として作成します。server.key は、大切なのでちゃんと管理しておきます(パスフレーズ付けた場合は、それもわすれずに)

# openssl md5 /bin/* > rand.dat
# openssl genrsa -rand rand.dat -out server.key 2048

秘密鍵から署名要求 (Certificate Signing Request) の作成

正確に入力すること。特にコモンネームは、https でアクセスする FQDN を正しく入力します(マルチの場合は、*.ドメイン)。間違って申請するとアウトなのできをつけましょう~(この段階なら何度でも作成可能ですので)。
Email Address, A challenge password, An optional company name は、入力しません。

SHA-1証明書を使い続けるリスクがあるので、SHA-2 で作成します。オプション(-sha256 つけること)

# openssl req -new -sha256 -key server.key -out server.csr
Country Name (2 letter code) [XX]:JP
State or Province Name (full name) []:都道府県名
Locality Name (eg, city) [Default City]:市区町村名
Organization Name (eg, company) [Default Company Ltd]:組織名
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:コモンネーム
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

ちなみに CoreSSL の画面では、SHA-1 から SHA-2 に作り直してくれるのオプションがあるので万が一間違って SHA-1で作成したCSR でも平気ですが、今後のこともあるので間違わない方がいいね(言ってる自分がそれやらかした)。

証明書発行までの流れ

SSL BOX で証明書発行までの流れは以下のとおり。条件さえ整っていれば5分で証明書を発行してくれます。

プリペイドを買う(銀行振込み、カード、PayPal)⇒ 新規作成 ⇒ 新規取得 ⇒ 登録 ⇒ 完了

openssl_001.png

openssl_002.png

承認者メールアドレスで・・・

当然と言えば当然ですが、SSL証明書を発行するとき自ドメインに承認者メールアドレスがないと先にすすみません。なので一時的にしろメールを受け取れるように整備しておく必要があります。

SSL証明書を申請する際に指定できる承認者メールアドレスはどのようなアドレスですか。

Postfix で受信できる環境をさくっと作っとく

受信だけでいいので、sasl とか設定いらないのでさくっと。

Postfix+Dovecot(シングルドメイン)の設定

adminユーザつくっときましたw

承認者メールアドレスに認証コードがあるのでぽちっとな

流れに進んでいくと、承認者メールアドレスに承認メールが届くので指定されたURLを叩いて認証コードを入れるだけ。これで全て手続き完了です。

CoreSSLの管理画面開いてステータスを確認しときます。

SSL証明書と中間証明書を設定する

Apache に秘密鍵、SSL証明書、中間証明書を設定します。
場所は、/etc/httpd/conf/ssl/crt に作ってみたけど、ここらへんは任意ってことでw

openssl_004.png

# mkdir -p /etc/httpd/conf/ssl/crt
# cd /etc/httpd/conf/ssl/crt
# cp server.key  my.domain.key
# vi my.domain.crt  ← CERT(SSL証明書)の内容を貼り付ける
# vi my.domain.inter.crt ← 中間証明書の内容を貼り付ける

Apacheのssl.conf に書いて、Apacheを再起動しブラウザで確認します。

  SSLEngine on
  SSLCertificateKeyFile /etc/httpd/conf/ssl/crt/my.domain.key
  SSLCertificateFile    /etc/httpd/conf/ssl/crt/my.domain.crt
  SSLCACertificateFile  /etc/httpd/conf/ssl/crt/my.domain.inter.crt

コマンドからも確認できるお

$  curl -kvI https://どめいん

さてSSLチェックツールで評価チェックしてみる

https://sslcheck.globalsign.com/ja で評価を。。なんだか「C」判定くらいましたw。CVE-2014-3566 脆弱性あるとか、TLS が・・・って怒られているのでここは、最初が肝心なので「A」評価にしたいと思います。

  SSLEngine on
  SSLProtocol all -SSLv2 -SSLv3
  SSLHonorCipherOrder ON
  SSLCipherSuite EECDH+HIGH:EDH+HIGH:HIGH:MEDIUM:+3DES:!ADH:!RC4:!MD5:!aNULL:!eNULL:!SSLv2:!LOW:!EXP:!PSK:!SRP:!DSS:!KRB5

ApacheでOpenSSLのセキュリティを強化するとかとか見ながら追加して(ちゃんとマニュアル読むべしだけどね)。再判定・・・「A」キター

中間証明書の確認方法

openssl コマンドで確認できる。

$  openssl s_client -connect localhost:443 -showcerts  < /dev/null

SSL中間CA証明書の確認方法メモ

これで

暫くは安心さ、あと3年後に更新・・・。
とりあえず1度やれば、会社の業務でも簡単にできそうなことが分かっただけいいとしよう。

その他

$3.65/年 とか 無料でSSL証明書を発行してくれるとこもあるみたい。そのうちやってみる。

無料のSSL証明書StartSSLを活用する
年額3.65ドルでSSL証明書を手に入れる

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
No comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ユーザーは見つかりませんでした