CentOS7+Apache+Ajax+PHP+PostgreSQLでインタラクティブなページづくり-6
ニックネーム たいちょう です。つい先日訪れた、由志園の紅葉が綺麗でした。
Linux OS上のwebサーバでのインタラクティブなページづくりの6日目になりました。
5日目に実施したVirtualBoxの設定はこちら
それでは、web サーバの設定をしていきます。
https プロトコルで暗号化通信をしたいと思っています。
個人情報が流れる可能性がありますしね。
クライアント側では例外を指定する事でサーバを認証できますが、ここはきちんと認証局を立ててサーバの公開鍵を発行してそれを読み込んでもらい、安心・安全な通信を確立したいところです。
では、自己認証局の作成から実施していきます。
現在の環境を確認します。
# rpm -q openssl
# rpm -q mod_ssl
ここでは、同じサーバに認証局とサーバを立ち上げます。
同じマシンですが、立場が異なりますので、作成しているコマンドの
意味を考えながら実施します。
自己認証局を立ち上げます。
認証機関の秘密鍵と、認証機関の証明書を作成します。
デフォルトで、3 年 有効な鍵ができます。
もし、10年有効な鍵を作りたかったら、/etc/pki/tls/misc/CA の以下を3650 にします。
CADAYS="-days 1095" # 3 years
を以下のように変更します。
CADAYS="-days 3650" # 10 years
ただ、ここでは、3年のままにしておきます。
CADAYS="-days 1095" # 3 years
CA(Certificat Authority:認証局)を作成します。
# cd /etc/pki/tls/misc
# ./CA -newca
次のように聞いてきますから、適宜答えていきます。
特に、Common Name が重要です。これを変えることで、要求を認識していきますので。
ここで実施するのは認証局の作成なので、認証局の名前を入れておきます。
Enter PEM pass phrase: <---証明書のパスフレーズを入力
Verifying - Enter PEM pass phrase: <---証明書のパスフレーズの確認
Country Name (2 letter code) [AU]:JP <---国名、日本なら'JP'
State or Province Name (full name) [Some-State]:Shimane <---都道府県名を指定
Location Name(eg,city) []:Matsue <---組織の本拠地の市区町村名を指定
Orgnaization Name(eg,company)[Internet Widgits Pty Ltd]:Matsue-lab-test <---組織名(法人名)を指定
Orgnaization Unit Name(eg,section)[]: Mtsue-lab-test<---部署名を指定
Common Name (eg,YOUR name)[]:Matsue-lab-CA <---認証局の名前を指定(これが重要)
Email Address []:<your-email-address> <---連絡先E-Mailアドレスを指定
これで/etc/pki/CA/以下に必要なファイルが作成されCAの作成は終了です。
/etc/pki/CA/cacert.pem =認証機関の証明書
/etc/pki/CA/private/cakey.pem =認証機関の秘密鍵
作成した証明書は以下のコマンドで内容の確認ができます。
# openssl x509 -in cacert.pem -text
3年有効になっていますよね。
秘密鍵の権限を変えておきましょう。
# chmod 600 /etc/pki/CA/private/cakey.pem
10年有効の鍵を作ろうと思ったんですけど、この記事を見て止めにしたんです。
SSL SHA-1 証明書の受付終了と SHA-2 証明書への移行について
サイバートラストさんのページで、とてもよくまとまっています。
セキュリティはとても重要なアイテムなので、サーバを作る際はないがしろにできません。
ここでは、実験という事で自己認証局をつくりましたが、上位の認証局に認証してもらうとより信頼性が高まると考えます。
お疲れさまです。第6日目の終了です。
寒くなってきたので、あったかい鍋でも食べたいと思っている、ニックネーム たいちょう でした。
次回もお楽しみに。
