ApacheとSSL/TLS化
目的
- Apache + mod_ssl で HTTPSアクセスするまでの手順をまとめます
- 自己署名証明書を使います(ブラウザでセキュリティの警告が表示されます)
前提
- Apacheはインストール済み
- 秘密鍵(localhost.key)、証明書署名要求(localhost.crt)を作成済み
自己署名証明書の作り方 - 秘密鍵(localhost.key)の保存先を /etc/pki/tls/private とします
- 証明書署名要求(localhost.crt)の保存先を /etc/pki/tls/certs とします
- サーバーのURLを 192.168.56.130 とします
手順
1. mod_ssl インストール
[root@marmoset ~]# dnf install mod_ssl
2. 秘密鍵、証明書署名要求ファイル配置
// 秘密鍵配置
[root@marmoset ~]# cp localhost.key /etc/pki/tls/private/
// 証明書署名要求配置
[root@marmoset ~]# cp localhost.crt /etc/pki/tls/certs/
3. ssl.conf編集
[root@marmoset ~]# vi /etc/httpd/conf.d/ssl.conf
編集内容
44c44
< #ServerName www.example.com:443
---
> ServerName 192.168.56.130:443
59c59
< #SSLProtocol all -SSLv3
---
> SSLProtocol +TLSv1.2
以下の設定は、各ファイルを設定に合わせて配置済みなのでパスが正しいかを確認
- 秘密鍵ファイルの格納場所
SSLCertificateKeyFile /etc/pki/tls/private/localhost.key - 署名要求ファイル格納場所
SSLCertificateFile /etc/pki/tls/certs/localhost.crt
4. httpd再起動
[root@marmoset ~]# systemctl restart httpd.service
5. httpsポート開放
// ポート開放
[root@marmoset ~]# firewall-cmd --add-service=https --zone=public --permanent
success
// リロード
[root@marmoset ~]# firewall-cmd --reload
success
// 確認
[root@marmoset ~]# firewall-cmd --list-all | grep services
services: cockpit dhcpv6-client http https ssh
6. ブラウザから https://192.168.56.130/ にアクセスしてセキュリティの警告ページが開けば(とりあえず)OK
感想
- 次のステップとして、セキュリティの警告が出ない証明書の作り方を勉強する