ライン

ポイント:*

ライン

 はじめに

 さくらインターネットでラピッドSSLを1年無償で利用させてくれるらしい。
ISRG(Internet Security Research Group)が無料で利用できるようになったら、ここのサイトもSSLに移行しようと思っていました。
これは良い比較ができるな、ということで利用させてもらうことにしました。

 認証局のあるSSL通信を利用する

apache24

 うちのサイトはメインが FreeBSDなので当然にそんな備忘録になっていきます。今回もapache24系のウェブサーバが導入されているという前提です。

# cd /usr/local/etc/apache24/

 早速鍵を準備します。

# cd /usr/local/etc/apache24
# openssl genrsa -out ./rapid-server.key 2048
Generating RSA private key, 2048 bit long modulusGenerating RSA private key, 2048 bit long modulus
................................+++
..........................................................................................................................+++
e is 65537 (0x10001)
# openssl req -new -key ./rapid-server.key -out ./rapid-server.csr
You are about to be asked to enter information that will be incorporatedYou are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [JP]:
State or Province Name (full name) [Tokyo]:
Locality Name (eg, city) []:Shinjuku
Organization Name (eg, company) [fkimura.com]:www.fkimura.com
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:www.fkimura.com
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
# cat  rapid-server.csr

 表示される内容を、申し込みページに貼り付け。

 
 
 

こんな感じ。
今はカード払いにしているけれど、ざわざわまたカード番号を入れるリスクは嫌だったので口座指定にしたんだけど。
入金0円を確認するべく会員ページを見ると、既に支払い済みになっていました。(申し込み確認な電子メールは来ていました)
契約サービスメニューではまだ申込中の状態になっていて、先に進めない。続きのメールが来るのを待つのかな。

****ここで一時中断****

メールが来ました。27分後ですね。
メールの内容に従い、認証DLファイルというhtmlファイルを実サーバに配置します。なんか余計なステップだけど仕方ないか。
そして、該当FQDNでアクセスできるように設定を変更。CRTファイルないのに、SSLの設定つくれないので、80番ポートで見えるようにした。
ssopcilbnat1.verisign.netからアクセスが来た。一定間隔で見に来るものなのかな。

****ここで一時中断****

偶然にもメールを待っている間に、letsencrypt.orgからのメールが来ました。はやく、こっちも確認してみたいけど。もうそろそろのはず。
…とメールを見ている間に、「ジオトラスト SSLサーバ証明書発行のお知らせ」というメールが届きました。
先ほどのhtmlをダウンロードする箇所が、既に「サーバ証明書DL」にに変わっています。わかりにくかったかも…。
これを入手し、サーバ上にrapid-server.crtとして保存しました。
これまでのファイルを含めパーミッションは、400に変更しておきます。
設定ファイルは vhostのままで443のポートのものを別途準備しました(後述)

# chmod 400 rapid-server.*
# service apache24 graceful

設定ファイルを変更してSSL通信になるようにして、サービスを再起動しました。
この状態SSL通信しても問題なく見れました。でも、中間CA証明書の設定もあったので、これを加えることにします。
https://www.geotrust.co.jp/resources/rapidssl/repository/intermediate.html
RSA SHA-1とRSA SHA-2があるみたいだ。良くわかっていないけど、rapid-server-chain.crtという名称にして、SHA-1版のものを設定することにしました。
https://www.geotrust.co.jp/resources/rapidssl/repository/intermediate_sha1.html
より入手して準備しました。

 うん、使えているようです。vhostに加えたSSLに関する部分はおおよそこんな感じです。

        ServerName      www.fkimura.com
        SSLProtocol -ALL -SSLv3 +TLSv1
        SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5

        SSLEngine on
        SSLCertificateFile      "/usr/local/etc/apache24/rapid-server.crt"
        SSLCertificateKeyFile   "/usr/local/etc/apache24/rapid-server.key"
        SSLCertificateChainFile "/usr/local/etc/apache24/rapid-server-chain.crt"

メインのウェブサーバはオレオレな証明書のままですが、本サイトに関しては今回の証明書を利用するようにしました。
もちろん、IPv6でも参照可能のようにしてあります。

とりあえずはこんな感じで開始することにしました。SSL版のページは徐々にリニューアルしつつ準備を進めます。

【改訂履歴】作成:2015/09/13 更新:-
【参考リンク】

*

Copyright © 1996,1997-2006,2007- by F.Kimura,