StartSSLで取得した無料SSLをいろいろなソフトウェアで活用してみる。

無料でSSLを取得できることで有名な、StartSSL。ここ数年お世話になっています。

最初の手続きが少し手間ですが、手順などを記載されたサイトは探せばいくらでも見つかります。ですので省きます。

環境は、Ubuntu 14.04 Server。

取得したSSLの設置場所と活用

/etc/apache2/certs/ssl.key
/etc/apache2/certs/ssl.crt
/etc/apache2/certs/ca.pem
/etc/apache2/certs/sub.class1.server.ca.pem

.keyと.crtはStartSSLで発行してもらったもの。

.pemはStartSSLからダウンロードしたものです。

wget https://www.startssl.com/certs/ca.pem
wget https://www.startssl.com/certs/sub.class1.server.ca.pem

これはあくまでも一例です。各々の環境に合わせて設置してください。

apache2だけで使うのはもったいない。その他のソフトウェアでも取得したSSLを活用できるように設定してみました。

Apache2

Apache2を使っています。nginxを使ってみたいのですがまだまだ勉強不足。二の足踏んでます。取得したドメインでhttpsでアクセスすると警告は出ません。ですが、取得したドメイン以外では警告がでますのでご注意下さい。

<VirtualHost *:443>
DocumentRoot "/home/hoge.com/public_html"
ServerName hoge.com

<Directory "/home/hoge.com/public_html">
</Directory>

SSLEngine on
SSLProtocol all -SSLv2
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM
SSLCertificateFile /etc/apache2/certs/ssl.crt
SSLCertificateKeyFile /etc/apache2/certs/ssl.key
SSLCertificateChainFile /etc/apache2/certs/sub.class1.server.ca.pem
SSLCACertificateFile /etc/apache2/certs/ca.pem

</VirtualHost>

postfix

送信時のメールデータを暗号化。オレオレ証明では送信時に確認画面が表示されますが、取得したSSLを使えば表示されません。こちらも同様、smtpサーバーのアドレスを取得したドメイン以外を指定すると確認画面が表示されます。

nano /etc/postfix/main.cf
# 最後に追記
smtpd_use_tls = yes
smtpd_tls_cert_file = /etc/apache2/certs/ssl.crt 
smtpd_tls_key_file = /etc/apache2/certs/ssl.key 
smtpd_tls_CAfile = /etc/apache2/certs/ca.pem

vsftpd

Ubuntu 12.04 Serverではproftpdを使っていましたが、Ubuntu 14.04からvsftpdへ。う~ん・・・オレオレ証明でもいいかも。クライアントはお好みで。個人的に、FileZillaを使ってます。

nano /etc/vsftpd.conf

# 最後に追記

rsa_cert_file=/etc/apache2/certs/ssl.crt
rsa_private_key_file=/etc/apache2/certs/ssl.key
ssl_enable=YES
force_local_data_ssl=YES
force_local_logins_ssl=YES

Webmin

サーバー管理ソフトです。デフォルトSSLでは、アクセスの度に警告画面が表示されますが、取得したSSLに書き換えると、すんなりとログインが出来るようになります。

Webmin管理画面からの設定方法。

Webmin → Webmin 設定 → SSL 暗号化 → SSL setting

# プライベート鍵ファイル
/etc/apache2/certs/ssl.key

# 証明書ファイル
/etc/apache2/certs/ssl.key

#追加証明書ファイル(連結証明書用)
/etc/apache2/certs/ca.pem
/etc/apache2/certs/sub.class1.server.ca.pem

SSLを取得したドメインでアクセスすれば、警告画面が表示されません。

あとは、年間更新を忘れずにしないと手間です。ご注意下さい。更新方法も検索すれば出てきます。

よかったらシェアしてね!
  • URLをコピーしました!

コメント

コメントする

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

目次
閉じる