OpenSSL

トップ > チップス > OpenSSL
2012-02-15, openssl

OpenSSL未分類(セキュアサーバの構築)

サーバで稼働する幾つかのサービス(デーモン)をセキュアにしてしまう方法です。Fedora Core 5サーバで検証しています。ウェブで検索すると、どこも「オレオレ証明書(自己証明書)」を利用した方法ばかりが解説されていますが、ここでは、なんと正規の認証局から購入した証明書を利用しています。富豪。

まずは、サーバでcsrを生成してから、以下のようなサイトで証明書を購入します。購入後に送られてくるファイルを以下の場所に保存します。

/etc/pki/tls/certs/AAACertificateServices_2.crt
/etc/pki/tls/certs/xxx_co_jp.crt
/etc/pki/tls/private/xxx.co.jp.key

それから、各デーモンの設定を変更し、設置したファイルを参照するようにします。なお、ここではファイルの指定のみに絞って紹介しています。SSLを有効にするなどの基本的な設定は、各チップスのページ等を参考にして下さい。

Apache(http)

httpd.conf

SSLCertificateFile /etc/pki/tls/certs/xxx_co_jp.crt
SSLCertificateFileKey /etc/pki/tls/private/xxx.co.jp.key
SSLCACertificateFile /etc/pki/tls/certs/AAACertificateServices_2.crt

Dovecot(pop,imap)

dovecot.conf

#ssl_cert_file = /etc/pki/dovecot/certs/dovecot.pem
#ssl_key_file = /etc/pki/dovecot/private/dovecot.pem
ssl_cert_file = /etc/pki/tls/certs/xxx_co_jp.crt
ssl_key_file = /etc/pki/tls/private/xxx.co.jp.key

#ssl_ca_file =
ssl_ca_file = /etc/pki/tls/certs/AAACertificateServices_2.crt

Sendmail(smtp)

sendmail.mc

dnl define(`confCACERT',`/etc/pki/tls/certs/ca-bundle.crt')dnl
dnl define(`confSERVER_CERT',`/etc/pki/tls/certs/sendmail.pem')dnl
dnl define(`confSERVER_KEY',`/etc/pki/tls/certs/sendmail.pem')dnl
define(`confCACERT',`/etc/pki/tls/certs/AAACertificateServices_2.crt')dnl
define(`confSERVER_CERT',`/etc/pki/tls/certs/xxx_co_jp.crt')dnl
define(`confSERVER_KEY',`/etc/pki/tls/private/xxx.co.jp.key')dnl

sendmailはファイルのパーミッションにうるさく、上記で指定するファイルの所有者、グループが「root」権限が「600(root以外読み書き不可)」でなければ起動に失敗します。

# chmod 600 files
# chown root:root files

参考

認証局(安そうな順)

この記事は役に立ちましたか?