AIPO7でオレオレ(自己)認証局とサーバ証明書を使う

投稿者: | 2015-07-24

どうやら最新版バージョン 44.0.2403.89 mのChromeブラウザで、オレオレ証明書を利用したサイトにアクセスすると「この接続ではプライバシーが保護されません」という警告が、頻繁にでるようになり、まともに操作できなくなるらしい。
jjj
jjj2

IEでは、毎回、下記のような警告がでるが、それほど気にすることはなかった。
jjj3

「とりあえずIEか、Firefoxを使ってよ!」と言い放ち、軽く流してしまいたい所だけど、潔く対応することにしましょう。

下記のサイトを参考に作業を進める。

(大変わかりやすいサイトで助かりました。)
Linux – 独自SSLサーバ認証局(CA)作成とサーバ証明書発行 – Qiita
そして、「 Windowsでは2017年1月1日以降、SHA1証明書サイトへのSSL通信が接続拒否される」らしいので、どうせならSHA-2証明書で行うことにしょう。
httpd – CentOS6などで俺俺CAとSHA2証明書を作るときのメモ – Qiita
SHA-1 証明書の受付終了と SHA-2 証明書への移行について|サイバートラスト

認証局構築

openssl.cnfを修正する。

CA用に下記のディレクトリーをそれぞれ作成し、秘密鍵が置かれるprivateディレクトリーは権限を0x700とします。

シリアルを初期化

証明書データベースを初期化します。

ここまでの作業で下記のようになりました。

CA証明書/秘密鍵作成

自己署名済みの証明書と秘密鍵を作成します。/etc/pki/tls/openssl.cnf のdafault_mdの指定がCentOS6まではsha1なので、
-sha256のオプションを明示します。

下記のファイルが作成される。

CA証明書の秘密鍵は他人にみられると困るので、こうします。

証明書が正しく出来たか確認

ブラウザにCA証明書を組み込む

ブラウザに取り込めるDER形式にエンコードします。

作成されたramudaCAcert.derは、利用するPCにダウンロードして「ルート証明書ストア」などにインストールする必要があります。

サーバ証明書

作成した自己認証CA局を使って目的のサイト自体の証明書を発行します。
以下のようなディレクトリを作成しました。

鍵ペアと証明書要求(CSR)ファイルを作成します。

作成が終わると以下のファイルができあがります。

自己認証CA局で署名(CA管理者)

サーバ証明書要求(CSR)を先ほど作成した自己認証CA局で署名します。

証明書が正しく出来たかを確認する

出来上がったファイルはこんな感じとなります。

パスフレーズをキャンセルする

サーバ再起動時にいちいちパスフレーズを入力するのが面倒です。 パスフレーズは、サーバ秘密鍵に書かれているのでこんな感じでRSAキーを書き込みます。

証明書と秘密鍵をサーバーへ組み込む

AIPOのSSL対応は、SSLへの対応|無料グループウェア「アイポ」に記載されています。が、しかし、結局正当な方式がないので、リバースプロキシを使用して簡単にAipoを既存のApacheと連携させる+SSL対応+自動起動|成長の果実の方式を利用しています。

出来上がった証明書と(パスフレーズ書き込み済みの)秘密鍵を下記のように組み込み、apahceを再起動する。

正しく整合性が取れると

ルート証明書をアクセスするPCにインストールし、ルート署名付きのサーバー証明書との整合性がとれると、Chormeの場合下記のような表示となる。
206
鍵マークが黄緑色になる。

また、SHA256を利用したので、鍵マークをクリックして証明書の詳細を表示した際に
205
「××××への接続は新しい暗号スィートにより暗号化されています」の表示になっているはずである。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です