カテゴリー
Linux

Ansible で CentOS 7 の自己署名の SSL 証明書を作成するタスク 2 種の方法をメモ

まとめ

sudo bash /etc/pki/tls/certs/make-dummy-cert filename を使う方法

  • PRIVATE KEY と CERTIFICATE が一つのファイルに出力される。
  • Nginx 設定ファイルで使えるようにするために、シンボリックリンクを作って ssl_certificate と ssl_certificate_key に指定する。

Ansible の openssl_privatekey, openssl_csr, openssl_certificate モジュールを使う方法

カテゴリー
WordPress

WordPress を動かしているリバースプロキシとWebサーバの Nginx で、Let’s Encrypt と certbot で SSL/TLS の発行、導入をしました記録♪

はじめに

本ブログをやっと、SSL/TLS 化しました。

Let’s Encrypt を認証局として、これの公式ツールである certbot を使用して、リバースプロキシもWebサーバも構築している Nginx に SSL/TLS を導入しましたので、その記録を試行錯誤も含めて記録してまいります。

まとめ

  • nginx 設定ファイルの書き換えも certbot に委ねたい場合、nginx 設定ファイルに日本語を入れるとエラーとなるため事前に削除しておく。
  • 作業前に、ファイアーウォール設定を変更して https の 443 ポートは開けておくとよい。
  • WordPress データベースの URL を修正するには、wp-cli を使えるようにして wp search-replace 'beforeurl' 'afterurl' とするのが楽。
カテゴリー
Linux

SSL サーバ証明書のアンインストール?、、、無効化のメモ♪

SSLサーバ証明書をコマンドを使ってCA認証局とやり取りしながらサーバにインストールした記録♪ | oki2a24 でインストールしました、SSL サーバ証明書をアンインストール、、、といいましても、SSL ソフトのパッケージをアンインストールするわけではございません。

どちらかといいますと、サーバの mod_ssl パッケージの設定から、導入した SSL サーバ証明書の記述を取り除いて無効化する、という表現がよいかと思います。それでは、始めます。

カテゴリー
Linux

SSLサーバ証明書をコマンドを使ってCA認証局とやり取りしながらサーバにインストールした記録♪

ポイント

  • OpenSSL コマンドは自動でディレクトリを生成してくれないので、ないディレクトリは作業前に作成しておくこと!
  • 秘密鍵 = 一種のパスワードだが、秘密鍵自体にさらにパスワードをかける。混乱したが、それだけ大事な情報だということ。しかしこの場合、Apaceh の再起動のたびに秘密鍵のパスワード入力を求められるため、運用方法によっては秘密鍵のパスワードを解除する方法もありうる、といいますかそのようなパターンは結構あると思います。

やりたいことや環境について

  • oki2a24.com に対して、ベリサインの「テスト用無料SSLサーバ証明書」を適用したい
  • oki2a24.com があるのは CentOS 5.9 で、Apache 2.x + mod_ssl + OpenSSL。ユーザは root で操作
  • SSL 証明書の確認は Mac の Chrome で行う

用語の整理

  • コモンネーム = SSL暗号化通信を行うサイトのURL
  • 秘密鍵 = RSA PRIVATE KEY
  • CSR = certificate signing request = certification request = BEGIN CERTIFICATE REQUEST 〜 END CERTIFICATE REQUEST = 証明書署名要求 = CA 認証局に送るサイト内容データ & 公開鍵データ。ひとつのファイルに両方の情報が含まれる。CA 認証局に提出する用に秘密鍵を使用してよくわからない文字列の状態で作成してくれる。
  • SSLサーバ証明書 = crt = BEGIN CERTIFICATE 〜 END CERTIFICATE

登場する CentOS ファイルの整理

No 項目 パス
1 秘密鍵 /etc/httpd/conf/ssl.key/ssl.oki2a24.com2013.key
2 CSR /etc/httpd/conf/ssl.csr/ssl.oki2a24.com2013.csr
3 SSL サーバ証明書 /etc/httpd/conf/ssl.crt/ssl.oki2a24.com2013.crt
4 中間 CA 証明書 /etc/httpd/conf/ssl.crt/dvcacert.cer
5 SSL 設定用 conf ファイル /etc/httpd/conf.d/ssl.conf

No の順番にファイルを作成したり、編集したりを行っていきます。