ということで、予告通りCAcertのルート証明書をインストールしてみる。
ちなみにMacです。Windows?何それ?美味しいの?
まずは、次のページからルート証明書(DER)をダウンロードします。
 |
| CAcert’s roots |
キーチェーンアクセスを起動します。
 |
| キーチェーンアクセス |
メニューの「ファイル」-「読み込む…」で、ダウンロードしたファイルを指定します。
目的のキーチェーンはシステムで、常に信用しましょう。
さて、では、再びCAcertに署名された証明書を利用する我がサイトに接続。
https://sin-cos.com/
すると、ど〜でしょ〜。
 |
| この証明書は有効です |
先ほどまでは警告が出ていたページが、同じ証明書なのにもかかわらず、
「この証明書は有効です」と、保証されています。
でも、これでは使えない。
StartSSLの証明書を取りましょうか。
タイトルをふざけすぎて、検索サイトでは上位に上がって来れないよね。
さて、サーバー証明書を手に入れたので、Apacheに組み込んでみます。
SSLの設定ファイルを編集しましょう。
$ sudo vi /etc/httpd/conf.d/ssl.conf
以下の部分を作成した秘密鍵と証明書に変更します。
SSLCertificateFile /etc/pki/tls/certs/domain.pem
SSLCertificateKeyFile /etc/pki/tls/private/domain.pem
$ sudo service httpd restart
httpd を停止中: [ OK ]
httpd を起動中: Apache/2.2.15 mod_ssl/2.2.15 (Pass Phrase Dialog)
Some of your private key files are encrypted for security reasons.
In order to read them you have to provide the pass phrases.
Server yourdomain.com:443 (RSA)
Enter pass phrase: ←ここで秘密鍵のパスワードを入力
OK: Pass Phrase Dialog successful.
$ sudo vi /path/to/passphrase-script
#!/bin/sh
echo “password”
ファイルの属性を変更します。
$ sudo chmod 500 /path/to/passphrase-script
$ sudo vi /etc/httpd/conf.d/ssl.conf
SSLPassPhraseDialog exec:/path/to/passphrase-script
$ sudo service httpd restart
httpd を停止中: [ OK ]
httpd を起動中: [ OK ]
$ sudo openssl rsa -in /etc/pki/tls/private/domain.pem -out /etc/pki/tls/private/nopass.pem
Enter pass phrase for /etc/pki/tls/private/domain.pem: ←ここで又もやパスワード入力
writing RSA key
https://yourdomain.com/
ちなみに、CAcertの証明書を使っています。
そしてブラウザはChrome。
 |
| このサイトのセキュリティ証明書は信頼できません |
やっぱりダメです。ブラウザに認証用のファイルが含まれていません。
念の為に証明書を見てみますが、きちんとCAcertにて署名されています。
 |
| この証明書は不明な機関によって署名されています |
ということで、CAcertのroot証明書をインストールしてみますか?
| Unable to establish secure SSL connection to mail.yourdomain.com [ Help ] |
| Server returned error: “SSL error: self signed certificate” |
否!
 |
| CAcert |
まずは、コミュニティに参加するために、赤枠部分をクリック!
だがしかし、、、
 |
| このサイトのセキュリティ証明書は信頼できません |
え?
CAcert自身の証明書がブラウザに登録されてない。
無料とはいえ、いちいち証明書を登録なんか一度もしたことない承認局の承認を受けても、、、
需要があるかどうか分からないけど、続ける。
まずは、入力。
 |
| 詳細情報 |
しかし、「 5つの質問と答え」を入力しないといけないとは。
登録後、しばらくすると確認のメールが届くので、URLをクリックして確認。
 |
| 送信済み |
ログインして次の作業に進みましょう。
 |
| ログイン |
ログインができたら、サーバ証明書を作っていきましょう。
 |
| ドメイン |
ドメイン管理者として有効なメールアドレスを選択してメールを待ちます。
 |
| メールアドレス選択 |
 |
| 送信済み |
 |
| Verify |
 |
| ドメイン確認完了 |
 |
| サーバ証明書 – 新規作成 |
CAcert 証明書の利用規定(Acceptable Use Policy)を読んで、サーバーで作成したCSRを貼り付けましょう。
 |
| CSR(Certificate Signing Request) |
送信すると確認画面。
 |
| CommonName確認 |
確認して送信すると、いきなり証明書が現れます。
 |
| サーバ証明書 |
さてと、使いますかね。使えますかね?
$ sudo mkdir /etc/pki/tls/csr
$ sudo chmod 700 /etc/pki/tls/csr
さて、申請書を作ります。
$ sudo openssl req -new -key /etc/pki/tls/private/domain.pem -out /etc/pki/tls/csr/domain.csr
Enter pass phrase for /etc/pki/tls/private/neo.sin-cos.com.pem: ←ここで秘密鍵を作るときに利用したパスワードを入力You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
—–
Country Name (2 letter code) [XX]:JP
State or Province Name (full name) []:都道府県
Locality Name (eg, city) [Default City]:市町村
Organization Name (eg, company) [Default Company Ltd]:会社名
Organizational Unit Name (eg, section) []:部署名
Common Name (eg, your name or your server’s hostname) []:yourdomain.com
Email Address []:
Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
$ sudo cat /etc/pki/tls/csr/domain.csr
SSL証明書を作る前に、秘密鍵(domain.pem)を作りましょう。
さらに鍵を作る前に、乱数の種(seed.dat)を作りましょう。
さらにさらに乱数の種を作る前に、、、いや、もうありません。
$ sudo openssl md5 /var/log/* > seed.dat
ログフォルダのハッシュ値を種として使います。
$ sudo openssl genrsa -rand seed.dat -des3 -out /etc/pki/tls/private/domain.pem 2048
1492 semi-random bytes loaded
Generating RSA private key, 2048 bit long modulus
……………………………..+++
……………………………………………………………….+++
e is 65537 (0x10001)
Enter pass phrase for /etc/pki/tls/private/domain.pem: ←ここで秘密鍵自体を暗号化するためのパスワードを入力
Verifying – Enter pass phrase for /etc/pki/tls/private/domain.pem: ←更に同じパスワードを入力(忘れるとどうにもなりません。)
$ sudo chmod 600 /etc/pki/tls/private/domain.pem