- PR -

Apacheセキュアサーバのプライベート証明書について

投稿者投稿内容
Marionette
ベテラン
会議室デビュー日: 2003/08/08
投稿数: 70
投稿日時: 2003-09-30 16:57
現在Apache+mod_sslでプライベートエリアんにセキュアサーバを構築中です。
一応まともに動いているようですが、個人的な知識アップのための実験で、証明書を取り寄せるのも
バカ馬鹿しいのプライベート証明でテストしています。
(テスト用に取り寄せることが出来るのは承知しています。)

そこで質問ですが、
1. 証明書の有効期限が1カ月になっておりますが、この有効期限は何で決まるのでしょう。
2. 日付関連で「証明書の日付が無効...」と表示されるのは、なぜでしょう。証明証はごく最近作ったばかりです。
3.「セキュリティ証明書の名前はサイト名と一致しない」と表示されますが、内部からだと
ローカルipアドレスでしかアクセスできないせいでしょうか。
4.このまま外部に公開すると問題がありますか? (法)規約上の問題や、ネットを混乱させる等々。

以上、よろしくお願いします。
またこの様な内容が詳しく説明されているサイトをご存じありませんか?
藍空
常連さん
会議室デビュー日: 2003/06/24
投稿数: 49
投稿日時: 2003-09-30 18:38
私のわかる範囲で回答を書かせていただきます。

1.
 具体的にどのような手順で証明書を作成されたのでしょうか?
 証明書に署名する時のオプションで期間は指定できます。
 恐らく、デフォルト値で1ヶ月なのではないでしょうか?

2.
 これはその証明書を見てみないとわかりません。

3.
 証明書を作成する前のCSRを生成するときに、Common Nameという
 外部からアクセスするために利用するホスト名(FQDN)を指定する
 ところがあったと思います。
 そのFQDNとアクセスするときに利用するURLのホスト名の部分が
 一致していないとそのような警告が出ます。

 プライベートで試験される際は、プライベートのDNSに登録する
 かhostsに書くかして、アクセスする際にURLにホスト名を指定す
 るようにしてみてください。

4.
 利用者が、その証明書を信用すると選択しない限り、接続するた
 びに証明書の警告画面がでることになると思います。
 利用者から「なぜ警告画面が出るのか?」という問い合わせが来
 てしまうのではないでしょうか。
 知り合いが試験的にあげているサーバなら気にしませんが、普通
 にインターネット上に公開されているサーバとしては、ちょっと
 気になるところです。

 まともな証明書を発行しているところは、ある意味「安心」を売
 っているのだと思います。

 実際にキャプチャリングして確認はしていませんが、通信系路上
 の暗号化だけはされると思います。

なかなか参考になるページは無いですね。
参考になりそうなページは、

 apache ssl 証明書 プライベート 簡易 CA

というキーワードで検索すると見つかると思います。
Marionette
ベテラン
会議室デビュー日: 2003/08/08
投稿数: 70
投稿日時: 2003-09-30 22:04
返信ありがとうございます。

> 具体的にどのような手順で証明書を作成されたのでしょうか?
http://www.linux.or.jp/JF/JFdocs/SSL-RedHat-HOWTO-3.html
http://www.ckjames.com/system/apache-ssl.html
を参考に作成しました。
# openssl genrsa -rand /dev/urandom -out /etc/httpd/conf/server.key 1024
# openssl req -new -key /etc/httpd/conf/server.key -out /etc/httpd/conf/server.csr
# openssl req -in /etc/httpd/conf/server.csr -key /etc/httpd/conf/server.key \
 -x509 -out /etc/httpd/conf/server.crt
です。-randは大きめのファイルを3〜4個指定しました。
有効期限のオプションは特に付けていません。本件についてはサイトを検索してみます。

> プライベートで試験される際は、プライベートのDNSに登録する
> かhostsに書くかして、アクセスする際にURLにホスト名を指定す
> るようにしてみてください。
DNSは設定してあります。テストしててクライアントの設定をうっかり間違えていたこと
に気づきました(おかしかったのはそのせいかあ)。
2番の「証明書の日付が無効...」は、3番のプライベートホスト名でアクセスし証明書を
受け入れると出なくなりました。メッセージの表現が不適切なための勘違いのようです。

で、追加質問なんですが、よろしくおねがいします。

1.
DDNS & Port Forwardingで WEBサーバを公開しておりますが、この場合のCSR生成のホ
スト名は DDNSで使っているURLでよろしいのでしょうか。
テストが簡単にできればいいのですが、けっこう面倒なんです。

2.
> 利用者が、その証明書を信用すると選択しない限り、接続するた
> びに証明書の警告画面がでることになると思います。
> 利用者から「なぜ警告画面が出るのか?」という問い合わせが来
> てしまうのではないでしょうか
個人が趣味で公開しているサイトですが、トップページに断り書きを表示しても証明書を
受け入れることに抵抗感がありますか?
クレジットカードの番号やプライバシーデータを入力させるような商売絡みのサイトなら
もちろん正規に入手しますが、個人サイトでそこまではちょっと。
(私ならどうかな、サイトの内容にもよると思うが)

追記、編集
Linux, Apache, MySQL, PHP関係を扱ったサイトで、その一環としてセキュアサーバの
実験という形で公開しようと思ってます。
セキュアサーバの公開だけが先になって HowToは当分の間後回しになりそうですが。
(ネット上によくあるものは作らないので、扱っているのはそれぞれごく一部です。)

[ メッセージ編集済み 編集者: Marionette 編集日時 2003-10-01 08:32 ]
藍空
常連さん
会議室デビュー日: 2003/06/24
投稿数: 49
投稿日時: 2003-10-01 19:54
> 有効期限のオプションは特に付けていません。本件についてはサ
> イトを検索してみます。

もうすでに確認済みだとは思いますが、昨日書き込まれた手順で作
成されたのであれば、最後の署名をする際にオプションとして、
「-days」オプションを指定すれば良いと思います。


以下は、追加質問に関してです。
1.
CSR生成時に入力するCommon Nameは、DDNSで利用しているFQDNで良
いと思います。

2.
私は個人的に気持ち悪いと思っているだけですので、世の中にはそ
う感じる人もいる、程度の認識でも良いと思います。
試験用や検証用であれば、意識しない人の方が多いのではないでし
ょうか。

ただし、Marionetteさんも書かれている通り、個人情報を扱うので
あれば、正式な証明書を取得すべきだと思います。
# とはいうものの、個人サイトじゃ難しいですよね〜。 (>_<)
rrru
常連さん
会議室デビュー日: 2003/04/21
投稿数: 28
投稿日時: 2003-10-01 22:41
無料で証明書を発行してくれるところもありますよ。

http://freeca.digion.com/

試験や検証を内輪だけでやるなら
プライベート証明で特に問題無いと思いますが。
Marionette
ベテラン
会議室デビュー日: 2003/08/08
投稿数: 70
投稿日時: 2003-10-02 00:33
藍空さん、rrruさん、レスありがとうございます。

> 私は個人的に気持ち悪いと思っているだけですので、世の中にはそ
> う感じる人もいる、程度の認識でも良いと思います。
試験用であること、保護された領域に移動する際「信頼のおけない認証局...」と表示される(かもしれない)
ことなど、趣旨説明と注意書きをいれる等、訪問者への配慮を考えます。

無料の証明書発行機関(企業)、少しだけ覗いてみました。サービスを開始してまもないためでしょうが、
「信頼のおけない認証局...」と注意してくれますね。
それでもプライベート認証よりは安心感を与えるでしょうし、「信頼...」は認知度が上がれば解決する
問題ですね。
有効期限1年間で発行してくれるのも面倒なくていいです。検討します。

[ メッセージ編集済み 編集者: Marionette 編集日時 2003-10-02 00:35 ]
藍空
常連さん
会議室デビュー日: 2003/06/24
投稿数: 49
投稿日時: 2003-10-02 12:24
「信頼されていない」というメッセージが出たとき、そのCAを信頼
してしまうのであれば、以下の手順で信頼してしまうことができま
す。

IEの場合は、httpsで接続しようとしたときに、「セキュリティの
警告」ダイアログがでて、「はい」「いいえ」の選択の他に、「証
明書の表示」というボタンが表示されると思います。

その「証明書の表示」ボタンを押すと、その証明書に関する情報を
参照できますので、そこで「証明書のインストール」を押して証明
書を自分のパソコンにインストールしてしまえば、以降はそのCAル
ート証明書を持った状態となりますので、

 信頼する会社から発行されていません

というエラーは出ないようになります。

ちなみに、デフォルトでIEに登録されているCAルート証明書は、

 「ツール」 -> 「インターネットオプション」
  -> 「コンテンツ」タブ -> 「証明書」ボタン

で参照することができます。
これに、VeriSignやThawteなどが登録されているため、警告が出な
いようです。

サービス開始してまもないかどうかではなく、デフォルトで登録さ
れているかいないかだけの問題でしょう。
# MSがどういう基準で登録しているのかは知りませんけど。

つまり、自分が信頼するのであれば、ここに登録してしまえばよい
わけです。
IEの場合の登録手順は、上記の「証明書インストール」ボタンを押
してウィザードに答えるだけです。
# デジオンさんのも初期は警告がでるでしょうけど、登録しちゃえ
# ばOKでしょ。ん?それなら自分で署名したやつでも変わらないよ
# うな.....。

しかし、デジオンさんがこんなサービス(rrruさんが紹介してくれ
たサービス)をやっているとは知りませんでした。
Marionette
ベテラン
会議室デビュー日: 2003/08/08
投稿数: 70
投稿日時: 2003-10-02 13:27
アドバイスありがとうございます。

>「信頼されていない」というメッセージが出たとき、そのCAを信頼
>してしまうのであれば、以下の手順で信頼してしまうことができま
>す。
既に、信頼して証明書をインストールして警告が出ないことは確認
しております。
(自分が作ったものを信頼できなきゃ信頼する人がいるわけがない)

>サービス開始してまもないかどうかではなく、デフォルトで登録さ
>れているかいないかだけの問題でしょう。
言葉足らずでした。
個人や規模の小さな事業所で公開している人達が使いまくって、『有
名ソフトウェア開発企業だから安心』と、みんなが証明書を受け入れ
るようになれば、その恩恵にあずかれると言いたかったのです。
そのつもりで『認知度』としたのですが...

# ひょっとしたら、そのうちIEやMOZILLAに登録されるかも知れませ
# んし。

[ メッセージ編集済み 編集者: Marionette 編集日時 2003-10-02 13:35 ]

スキルアップ/キャリアアップ(JOB@IT)