Webの通信を暗号化で安全に!無料ではじめるSSL証明書入門
22 likes8,067 views
Webの通信を暗号化で安全に!無料ではじめるSSL証明書入門(初心者向け) 2015-05-02(土)10:00 - 12:30 LT駆動開発 14 - 5月病 https://github.com/LTDD/Sessions/wiki/LT駆動開発14
Webの通信を暗号化で安全に!無料ではじめるSSL証明書入門
- 7. SSLとTLS TLSはTransport Layer Security (トランスポート・レイヤー・セキュリティー) 2014年10月にSSL 3.0の仕様上の脆弱性に より現在はSSLの後継のTLSが主に利用され ていますが総称してSSLと呼ばれることも多 いです。 http://www.soumu.go.jp/main_sosiki/joho_tsusin/security_previous/kiso/k01_ssl.htm
- 9. SSLサーバ証明書の取得 ● 商用の場合は証明局より購入 ● シマンテック(ベリサイン) ● グローバルサイン ● ラピッドSSL 等 ● 非商用(個人等) ● StartSSL ● 今回は非商用であれば無料で利用可能な StartSSLを紹介します。
- 10. 「StartSSL」で検索 (参考) StartSSL Certificates & Public Key Infrastructure - https://www.startssl.com/ サービス提供元サイト ● 無料のSSL証明書StartSSLを活用する - Qiita http://qiita.com/k-shogo/items/870b6d3939dd08da2de4 ※nginx向け ● StartSSLで無料のSSL証明書を取得してサーバーに適用する http://www.kyoji-kuzunoha.com/2013/08/startssl-certificate.html ※Apache+modSSL
- 13. Certificate Control Panel をクリック
- 14. Sign-up
- 16. メールで認証コードが届く
- 17. コードを入力
- 19. クライアント証明書のインストール
- 22. Domain Name Validation を選択
- 23. ドメインを入力(wwwは不要)
- 24. メールの送付先を選択
- 25. メールが届くのでコードを確認
- 26. コードを入力
- 27. ドメイン認証完了
- 29. Certificates Wizard Web Server SSL/TLS Certificate
- 30. 秘密鍵の生成
- 31. 生成した秘密鍵を保存
- 32. 証明書を作成するドメインを選択
- 33. ホスト部分(www等)入力
- 34. ドメインとホストを確認
- 35. 生成したサーバ証明書を保存
- 36. サーバ設定 CentOS 6 ConoHa VPS & Sakura VPS 共通
- 37. mod_ssl インストール Webサーバ(Apache)でSSLを使う場合は モジュール(mod_ssl)を追加インストール su - yum install mod_ssl
- 38. サーバ証明書ファイルの配置 etc/pki/tls/ |-- certs | |-- ssl.crt (サーバ証明書:公開鍵) | |-- ca.pem (ルート証明書) | `-- sub.class1.server.ca.pem (中間証明書) `-- private |-- decrypt_ssl.key (秘密鍵:暗号化なし) |-- ssl.key (秘密鍵:暗号化あり)
- 39. 秘密鍵の配置 cd /etc/pki/tls/private vi ssl.key ※生成したssl.keyを貼り付け openssl rsa -in ssl.key -out decrypt_ssl.key ※秘密鍵生成時に指定したパスワードを入力 chmod 400 ssl.key chmod 400 decrypt_ssl.key ※パーミッション変更
- 40. 証明書の配置 cd /etc/pki/tls/certs vi ssl.crt ※生成したssl.crtを貼り付け wget https://www.startssl.com/certs/ca.pem ※ルート証明書をダウンロード wget https://www.startssl.com/certs/sub.class1.server.ca.pem ※中間証明書をダウンロード chmod 400 ssl.crt chmod 400 ca.pem chmod 400 sub.class1.server.ca.pem ※パーミッション変更
- 41. ssl設定修正 cd /etc/httpd/conf.d cp -pi ssl.conf ssl.conf.org vi ssl.conf --- ssl.conf NameVirtualHost *:443 DocumentRoot /var/www/html (htmlファイル設置場所) ServerName (ホスト名:www.ドメイン名):443 (続く)
- 42. ssl設定 ファイルパス修正 - サーバ証明書(公開鍵) 変更前 SLCertificateFile /etc/pki/tls/certs/localhost.crt 変更後 SSLCertificateFile /etc/pki/tls/certs/ssl.crt - 秘密鍵 変更前 SSLCertificateKeyFile /etc/pki/tls/private/localhost.key 変更後 SSLCertificateKeyFile /etc/pki/tls/private/decrypt_ssl.key - 中間証明書 変更前 #SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt 変更後 SSLCertificateChainFile /etc/pki/tls/certs/sub.class1.server.ca.pem - ルート証明書 変更前 #SSLCACertificateFile /etc/pki/tls/certs/ca-bundle.crt 変更後 SSLCACertificateFile /etc/pki/tls/certs/ca.pem
- 43. https通信(TCP:443)許可 /etc/sysconfig/iptables -A INPUT -p tcp --dport 443 -j ACCEPT 設定追加 service iptables reload 追加した設定を再読み込み
- 44. 変更したSSL設定を反映 設定確認(文法チェック) service httpd configtest Webサービス再起動 service httpd restart
- 45. SSL設定結果