OpenSSL未分類(セキュアサーバの構築)
サーバで稼働する幾つかのサービス(デーモン)をセキュアにしてしまう方法です。Fedora Core 5サーバで検証しています。ウェブで検索すると、どこも「オレオレ証明書(自己証明書)」を利用した方法ばかりが解説されていますが、ここでは、なんと正規の認証局から購入した証明書を利用しています。富豪。
まずは、サーバでcsrを生成してから、以下のようなサイトで証明書を購入します。購入後に送られてくるファイルを以下の場所に保存します。
/etc/pki/tls/certs/AAACertificateServices_2.crt
/etc/pki/tls/certs/xxx_co_jp.crt
/etc/pki/tls/private/xxx.co.jp.key
それから、各デーモンの設定を変更し、設置したファイルを参照するようにします。なお、ここではファイルの指定のみに絞って紹介しています。SSLを有効にするなどの基本的な設定は、各チップスのページ等を参考にして下さい。
Apache(http)
httpd.conf
SSLCertificateFile /etc/pki/tls/certs/xxx_co_jp.crt
SSLCertificateFileKey /etc/pki/tls/private/xxx.co.jp.key
SSLCACertificateFile /etc/pki/tls/certs/AAACertificateServices_2.crt
Dovecot(pop,imap)
dovecot.conf
#ssl_cert_file = /etc/pki/dovecot/certs/dovecot.pem
#ssl_key_file = /etc/pki/dovecot/private/dovecot.pem
ssl_cert_file = /etc/pki/tls/certs/xxx_co_jp.crt
ssl_key_file = /etc/pki/tls/private/xxx.co.jp.key
#ssl_ca_file =
ssl_ca_file = /etc/pki/tls/certs/AAACertificateServices_2.crt
Sendmail(smtp)
sendmail.mc
dnl define(`confCACERT',`/etc/pki/tls/certs/ca-bundle.crt')dnl
dnl define(`confSERVER_CERT',`/etc/pki/tls/certs/sendmail.pem')dnl
dnl define(`confSERVER_KEY',`/etc/pki/tls/certs/sendmail.pem')dnl
define(`confCACERT',`/etc/pki/tls/certs/AAACertificateServices_2.crt')dnl
define(`confSERVER_CERT',`/etc/pki/tls/certs/xxx_co_jp.crt')dnl
define(`confSERVER_KEY',`/etc/pki/tls/private/xxx.co.jp.key')dnl
sendmailはファイルのパーミッションにうるさく、上記で指定するファイルの所有者、グループが「root」権限が「600(root以外読み書き不可)」でなければ起動に失敗します。
# chmod 600 files
# chown root:root files
参考
認証局(安そうな順)
この記事は役に立ちましたか?
- EnglishWorm.com
- SinglesFan.com
- LmLab.net
- サイトマップ
- 運営者について
