さくらVPSでSSLを使用するため、サーバ証明書を導入します。
1.対象サーバの秘密鍵とCSRを作成
CAにサーバ証明書の発行申請をするに先立って、OpenSSLを使用して対象サーバの秘密鍵とCSRを生成しておきます。後で申請時に、ここで生成されたCSRを使用します。
$ openssl seconds genrsa さくらVPSにLAMP環境を構築する -rand cheap jerseys /var/log/maillog -des3 EDITION 2048 > example.com.key.pem $ openssl req -new -key example.com.key.pem -out example.com.csr.pem
2.サーバ証明書の購入/発行申請
私の場合は、デファイン合同会社より、ジオトラスト社のRapidSSLを購入しました。無料で発行申請できるStartSSLなんかでは、ドメイン認証に自ドメインの管理者メールアカウントが生きていることが必要になります。しかし、RapidSSLではドメイン認証方式にファイルタイプが選択できるためその必要はありません。そして、ほとんど無料同然と言って良いほど安価で、迅速に認証・サーバ証明書の発行が行われます。
購入/発行申請は全体として次のような流れになります(ドメイン認証方式にファイルタイプを選択した場合)。
- ディファイン合同会社で会員登録をする
- RapidSSLの購入手続きをする
- メール通知されたURLでサーバ証明書の発行申請を行う(ここでCSRが必要です)
- 指定されたファイルをドキュメントルートに配置する
- メールでサーバ証明書が送付される
少しわかりにくいのですが、ディファイン合同会社では購入受付および導入サポートを行い、実際の申請/発行/管理はジオトラスト社が行うという形態をとっているようです。会員登録をして購入手続きを済ませると、発行申請先のURLがメール通知されます。この際、申請手順も添付されてきます。これにしたがって、指定URLで発行申請手続きを行います。ドメイン認証方式にファイルタイプを選択し、作成したCSRを貼り付けます(このとき何を入力してよいかわからなかったのですが、サーバ管理者情報の「Title」には申請したCommonNameを入力しました)。すぐにジオトラスト社からURLがメール通知されるので、指定URLにログインし、指定された認証用のHTMLファイルをダウンロードします。ダウンロードしたHTMLを、指定されたファイル名で申請対象サーバのドキュメントルートに配置します。さらに数分待つと、サーバ証明書がメールにベタ書きで送られてきます。
3.サーバ証明書の設置
送付されてきたサーバ証明書をファイル保存します。ここでは、example.com.crtとします。後は、中間証明書をダウンロードし(RapidSSL_CA_bundle.pem)、自サーバの秘密鍵からパスフレーズを除いた上で、ApacheのSSL設定を行います。
秘密鍵からパスフレーズを削除
秘密鍵からパスフレーズを削除しておかないと、Apache起動時に毎回パスフレーズが要求されてしまいます。
$ mv cheap nfl jerseys example.com.key.pem example.com.key.pem.org $ openssl -rsa example.com.key.pem.org > example.com.key.pem
mod_sslのインストール
ApacheでHTTPSを利用するために、mod_sslをインストールします。
$ sudo yum Kuteshop install mod_ssl
Apacheにサーバ証明書を設定
秘密鍵、サーバ証明書、中間証明書を設定します。設定したディレクトリパスに、各ファイルを配置してください。
/etc/httpd/conf.d/ssl.conf
SSLCertificateFile /etc/pki/tls/certs/example.com.crt SSLCertificateKeyFile в /etc/pki/tls/private/example.com.key.pem SSLCertificateChainFile /etc/pki/tls/certs/RapidSSL_CA_bundle.crt
4.HTTPSでのアクセスを強制する
HTTPポートは開けるが、HTTPSでのアクセスを強制させたい場合は、mod_rewriteを使うのが簡便です。下記は、サイト全体でHTTPアクセスされた場合でもHTTPSにリダイレクトさせるようにします。この設定は任意です。
/etc/httpd/conf.d/rewrite.conf
<IfModule mod_rewrite.c> wholesale jerseys さくらVPS初期設定 RewriteEngine On ?célébrités RewriteCond "%{SERVER_PORT}" "^80$" wholesale mlb jerseys RewriteRule "^(.*)$" cheap mlb jerseys "https://example.com$1" [R,L] </IfModule>
後は、Apacheを再起動して完了です。
$ sudo service httpd restart