SSL証明書の取得から設定まで+α

ApacheでSSL(mod_ssl)を使用する場合の一連の流れ。

署名入り証明書の取得(購入)から設定までの一連の流れのまとめです。

自己署名証明書での解説ページが多いので、初めて証明書を購入してSSLの導入をする場合を想定して書いています。

サーバー環境はCentOS 5.1。環境が変わっても一連の流れと作業はほぼ同じです。

SSLで暗号化された通信の簡単な説明

  1. サイトにアクセスするとサーバーから証明書と鍵(A)を受信
  2. 証明書が安全な場合、鍵(A)を利用して通信データを暗号化
  3. 暗号化したデータをサーバーに送信
  4. サーバーは鍵(A)に対応した鍵(B)でデータを復元

上記の「証明書が安全な場合」の安全かどうかはどうやって判別すればいいのか?

証明書の安全を保証する為に認証局と呼ばれる第3者によって証明書に署名を付けてもらいます。その署名が無いものは安全性が確認出来ない為、オレオレ証明書などと呼ばれています。

署名付き証明書を手に入れるには

署名付き証明書を取得する為に証明書署名リクエスト(CSR: Certificate Signing Request)と呼ばれるものが必要になります。CSRには証明書の保有者の情報(名前・有効期限・FQDNなど)が含まれており、それを認証局に送り保有者情報の確認がおこなわれた後に署名付き証明書が手に入ります。

CSRの作成

CSRはOpenSSLのコマンドによる作成が一般的です(一部Webインターフェイスを提供しているところもあります)。

ここではコマンドラインによる作成を以下に挙げます。

$ cd /etc/pki/tls/certs/
$ openssl req -new -nodes -keyout myserver.key -out server.csr

上記コマンドを実行するとCSR作成の為に必要な情報の入力待ち状態になるので、情報を入力します。特別な理由が無ければWhoisの情報と同じものを入れた方がいいです。違う場合、署名してもらえない場合や人力確認で時間が掛かる事が多いです。()内はコメントです。

Generating a 1024 bit RSA private key
.++++++
......++++++
writing new private key to 'myserver.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:JP(国)
State or Province Name (full name) [Berkshire]:Tokyo(都道府県)
Locality Name (eg, city) [Newbury]:Shinjuku(市区町村)
Organization Name (eg, company) [My Company Ltd]:apecell(組織名)
Organizational Unit Name (eg, section) []:IT(部署名・グループ名)
Common Name (eg, your name or your server's hostname) []:apecell.com(サーバーホスト名)
Email Address []:info@apecell.com(管理メールアドレス) ※1

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:(パスワード) ※1 ※2
An optional company name []:(組織名略称) ※1

※1 – 認証局によって空白指定がされているので、申請する認証局のサイトなどで要確認。
※2 – 入力するとApache起動時にパスワードが必要。SSLを失効させたりする場合などにも使用。

上記のコマンドを実行するとCSR(server.csr)と秘密鍵(myserver.key)の2種類のファイルが作成されます。

署名付き証明書の取得

認証局のサイトで申込を行い証明書を発行してもらいます。

基本的に1ホスト名1証明書ですが用途によりサブドメイン全てをカバーしたワイルドカード証明書など、各社のサービスと値段は様々です。

特に携帯と負荷分散環境でのSSLについて詳しくは以下のサイトが参考になります。
携帯対応、負荷分散環境で最適な、SSL証明書選び:Goodpic

発行までの手順も各社に違いがあり、郵送で書面記入が必要なものからWhoisに登録されているメールアドレスに確認メールが送信されるだけというものまであり、発行まで即日〜2週間程度になります。

Apacheの設定

証明書を取得したら /etc/pki/tls/certs/server.crt に保存しておきます。

$ yum -y install mod_ssl
$ vi /etc/httpd/conf.d/ssl.conf

Edit >>
SSLCertificateFile /etc/pki/tls/certs/server.crt (証明書指定)
SSLCertificateKeyFile /etc/pki/tls/certs/server.key (秘密鍵指定)
<< Edit

$ /etc/rc.d/init.d/httpd restart

以上が一般的に言われる「SSLを買って設定する」になります。