VPS」カテゴリーアーカイブ

VPSに無料の認証済みSSL証明書をインストールする

startssl


難産!!圧倒的難産!!

自分の知識不足のせいでひどい目にあったものの、なんとかSSL証明書をインストールできた。

非常に快適だわ。

いちいち注意書き出てこないのが良すぎ。

しかも、Textasticのような公的証明書しかWebDAVに接続できないアプリも接続できた。

超絶快適です。


※注意!


ブログ主はさくらインターネットのVPS(CentOS6)での環境で行なっています。

今回の設定は下記の設定を終了したものとして書いています。


【SSL証明書】VPSにメールサーバーを設定する【取得用】


【VPSに】ドメインを取ろう【割り当て】


【さくら】VPSサーバーのパフォーマンスを向上させる。【DTI】


【セキュリティ】さくらVPSにファイアウォールを適用する。【iptables】


【セキュリティ】sshでのrootログインを禁止する【乗っ取り対策】


【オレオレ証明書】自作WebDAVサーバーにWindows7で接続する【Windows7】



StartSSLにアクセス


まず、無料でSSL証明書を発行してくれるありがたいサイト、StartSSLにアクセスし、StartSSL Freeをクリックする。


Startssl



Certificate Control Panel.をクリック。


Startssl 1



Sign-upをクリック。


Startssl 2



個人情報の入力


個人情報を入力。

すべてローマ字で入力すること。


First, Last Name:名前 苗字

Complete Home Address(Street, House, Number):市町村や区、町村、番地の順

Zip, Locality/Place:郵便番号

Country:国

State/Region **:都道府県

Phone:電話番号


書き方が外国仕様。

例)0123−45−6789だと、+81−123−45−6789になる。

Email *:適当なメールアドレス。自分のメールサーバーでなくて良い。


Startssl 3



すると登録したメールにStartSSLからコードが書いたメールが届くので、それを貼り付ける。


Startssl 4



貼りつけたらcontinue。


Startssl 5



StartSSLとメールでやり取り


6時間以内にメールするよ!みたいなメッセージが出てくるので、しばらく待つとメールが届く。


This electronic mail message was created by StartCom’s Administration Personnel

Thank you for registering with StartSSL! It seems that you provided us the address details of an organization. However our terms and conditions require from our subscribers to disclose the correct and complete address of residence. Please reply to this message and send us your personal details including correct phone number!


※葛葉訳


ヘイ!Youの個人情報がマジもんなのかこのメールにさっき送った個人情報を返信して証明してみてくれ!


ってことなので、個人情報を入力した時に入力したすべての情報を入力して返信する。

文章は多少違うのが届くかもしれないが、内容は同じ。

不安ならGoogle翻訳でも使ってくれればわかると思う。


自分の場合は、

Hallo, XXX XXXX.(担当者)

My address is

katsushikaku kameari 1-1-1
125,0061
japan
tokyo
+81-3-1234-5678

Regards,
Kyoji Kuzunoha


と返信した。

すると、ブログ主の場合は、


Hello,

Is this your home address?!


と疑いのメールが届いたので、


Hello,

Yes.It’s my home address.


と返したら信じてくれた。

すると、


Your request for an account at StartSSL™ (www.startssl.com) has been approved and is available during the next 24 hours at the following location:

https://www.startssl.com/?app=12&action=release&id=400399&auth=xxxxxxx

The verification code in order to continue the process is xxxxxxxx

Thank you!


とメールが届くので、長いURLをクリックする。



StartSSLへのログイン用SSL証明書の作成


StartSSLにログインするための証明書を作る。

この時に作成した証明書がインストールされているマシンでしかStartSSLにログイン出来ないので気をつける事!

暗号化セキュリティレベルはデフォルトの高でよい。

気になるなら最高にしたらいいと思う。

ブログ主は高で設定しているので、変えて繋がらない!とか言われても知りません。


Startssl 6



installをクリックすると、そのマシンにログイン用SSL証明書がインストールされる。


Startssl 7



Finichをクリックして終了。



Startssl 8



Validations Wizardでの設定


今度はAuthenticateをクリック。


Startssl 9



Validations Wizardをクリック。


Startssl 10


Domain Name Validationを選択してcontinueをクリック。


Startssl 12



取得したドメイン名を入力。


Startssl 13



ここで前作ったメールサーバーが必要になる。

メールアドレスが4択だが、決められたものになっているので、前回作ったアカウント、hostmaster@マイドメインを選択してcontinue。


Startssl 14



すると、hostmaster@〜にメールが届く。


This mail is intended for the person who requested verification of domain control at StartSSL™ (http://www.startssl.com).

Your verification code is XXXXXXXXXXX
Copy and paste this code now into the form at your open browser window.

Thank you!


アクティベーションコードが書いてあるので、貼り付けてcontinueをクリックすると、ドメインが認証されるのでFinishをクリック。


Startssl 15



server.keyの確認


ここでいきなりVPS。


権限をrootに変更


【セキュリティ】sshでのrootログインを禁止する【乗っ取り対策】

での設定によりsshでのrootログインを禁止したので、スーパーユーザー(root)に権限を昇格させる。


[kuzunoha(ユーザー名)@ ~]$ su エンターキー


rootバスワードを入力する。


[root@ kuzunoha]#


になればrootに変更された。

カレントディレクトリに移動。


[root@ kuzunoha]# cd エンターキー


カレントディレクトリに移動し、rootでログインした時と同じ


[root@ ~]#


になる。



server.csrを開く


WebDAVを設定した時に作った秘密鍵server.csrを開く。


[root@ ~]# vim /etc/pki/tls/certs/server.csr エンターキー


すると、


—–BEGIN RSA PRIVATE KEY—–
N1gir26eVoRgdIfAlNYPSXx1YTWexVga8cD+IdEcN3hjDziVsa4jIFg3eFD3Bgwz
vST7W/gc870X63+Ec2WDSseBK23bY2xDUl6nOEXTx78uwVfMYoMZOXVq99ow6eSq
cKbqJNJ+XqWBJRiNQ6ba2P7MSAgZllNhTtfCp2QZaf6yc/5TahOC3vmcw7wVQaTM
nw1qehBsk+6x8cIeBkRRO03RWgzw0ETLLdEEbD6uU7jcvImWR8AgfsOphxCzAcJa
QOtaXxkAqQ7AopuJKF0EYWB7bdBTsSwr6VDHEc0W0UnQzkrplaJ9cjEHPdLDqC9E

—–END RSA PRIVATE KEY—–


と訳の分からないコードが書いてあるが、


—–BEGIN RSA PRIVATE KEY—–

から

—–END RSA PRIVATE KEY—–


までをすべてコピーし、メモ帳にでも貼り付けておこう。


とりあえずVPSはここまで。

またStartSSLに戻る。



Certificates Wizardでの設定


Certificates Wizardをクリックする。


StartSSL 16



Web Server SSL/TLS Certificateを選択。


Startssl 17



Skipをクリック。


Startssl 18



VPSで確認したserver.csrのコードを貼り付けてcontinueをクリック。


Startssl 18 1



多分マイドメインが選択されていると思うが、確認してcontinueをクリック。


Startssl 21



サブドメインの入力。

なんでも良い。

ブログ主はwwwを指定した。

StartSSLはmydomain.comの他に、xxx.mydomain.comのxxxの部分(サブドメイン)までSSL化してくれる。

一つしか指定できないが、なにか指定しなければならないのでwwwとでも入力しておこう。


Startssl 22



continueをクリック。


Startssl 23



ToolBoxでの設定


しばらくメール待っとけっていう英文が出てくるので、しばし待つと下記のようなメールが届く。


This mail concerns the digital certificate you requested from the StartCom Certification Authority (http://www.startssl.com). Your certificate with serial number 1111111 has been signed and is available at the Control Panel:

https://www.startssl.com/?app=12

Please login to your account and select from the Tool Box tab the section Retrieve Certificate. The pending certificate is marked with a green colored label.

Thank you!


届いたらツールボックスを開く。


Startssl 24



Retrieve Certificateをクリック。


Startssl 25



www.マイドメイン(Server – Class 1 – 〜)

を選択してcontinue


Startssl 26



ここに書いてあるコードが認証済みSSL証明書になる。

これをすべてコピーし、メモ帳に貼り付け。

startssl.crtと言う名前で保存する。


Startssl 27



認証済み証明書をVPSにアップロード


ここからまたVPS。


startssl.crtをVPSにアップロードし、ディレクトリ/etc/pki/tls/certs/に移動する。

WebDAVに入れてもいいし、Cyberduckを使うなりしてアップロード。

startssl.crtがあるディレクトリで


[root@ ~]# cp startssl.crt /etc/pki/tls/certs/ エンターキー


certsディレクトリにコピーされた。



中間証明書とルート証明書をダウンロード


SSL証明書があるディレクトリへ移動。


[root@ ~]# cd /etc/pki/tls/certs/ エンターキー


ディレクトリcertsへ移動した。


中間証明書とルート証明書をダウンロードする。


[root@ certs~]# wget https://www.startssl.com/certs/ca.pem エンターキー

[root@ certs~]# wget https://www.startssl.com/certs/sub.class1.server.ca.pem エンターキー


ルート証明書ca.pem、中間証明書sub.class1.server.ca.pemがダウンロードされた。



アクセス権の変更


証明書のアクセス権を変更する。


[root@ certs~]# chmod 400 startssl.crt エンターキー

[root@ certs~]# chmod 400 ca.pem エンターキー

[root@ certs~]# chmod 400 sub.class1.server.ca.pem エンターキー


証明書用にアクセス権が変更された。



Apacheのssl.confの書き換え


最後にApacheにSSL証明書を認識させる。


[root@ ~]# vim /etc/httpd/conf.d/ssl.conf エンターキー


105行目

SSLCertificateFile /etc/pki/tls/certs/server.pem

105 SSLCertificateFile /etc/pki/tls/certs/startssl.crt

に書き換え。


121行目

#SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt

SSLCertificateChainFile /etc/pki/tls/certs/sub.class1.server.ca.pem

に書き換え。

#も消すこと。


127行目

#SSLCACertificateFile /etc/pki/tls/certs/ca-bundle.crt

SSLCACertificateFile /etc/pki/tls/certs/ca.pem

に書き換え。

#も消す。

:wqで終了。


変更を反映させるため、Apacheを再起動する。


[root@ ~]# service httpd restart エンターキー


きちんと起動すれば認証済み証明書のインストールは完了。



アクセスしてみよう


いつも出る鬱陶しいエラーが出なければ見事に適用されてる。

オレオレ証明書に対応していないアプリでも見事に認識するので、死蔵してたアプリでも試してみよう。

何かミスがあったらコメント下さい。


【SSL証明書】VPSにメールサーバーを設定する【取得用】

やっとできた(;´Д`)
ひどく時間がかかったが、何とか出来た。
だけど、暗号化してないのでハリボテです。
メインで使わないように!w
あくまで正規のSSL証明書を取得するための設定です。

※注意

ブログ主はさくらインターネットのVPS(CentOS6)での環境で行なっています。
SSLなどの暗号化は行なっていませんので、実用性はありません。

下記設定が終了したものとして書いています。

【VPSに】ドメインを取ろう【割り当て】

【さくら】VPSサーバーのパフォーマンスを向上させる。【DTI】

【セキュリティ】さくらVPSにファイアウォールを適用する。【iptables】

【セキュリティ】sshでのrootログインを禁止する【乗っ取り対策】

【オレオレ証明書】自作WebDAVサーバーにWindows7で接続する【Windows7】


続きを読む

【VPSに】ドメインを取ろう【割り当て】

domain


今回は、使っているVPSにドメインを割り当てよう!

ということで、ドメインに焦点を当てます。

ただの味気ないホスト名より、自分でとったドメインはなんとなく愛着がわくw



マイドメインを持つメリット・デメリット


マイドメインを取得するとさまざまなメリットがある。

メールサーバーを立てると、〜@kyoji-kuzunoha.com等のメールアドレスを作ることが出来る。

Webサイトを作ると、kyoji-kuzunoha.com等のマイドメインで運用できる。

リモートログインする時も、マイドメインでログオン出来る(どうでもいい?)

などなど、あまり必要ないんじゃ?って思うようなメリットなのだが、今回はメールサーバーを立てるとマイドメインで運用できるようになることが非常に大事。

これから無料のSSL証明書を取得するのだが、マイドメインメールでの認証がある。
マイドメインそのものが認証対象になるため、sakura.ne.jp以下に割り当てられるホスト名では取得できない。

ちなみに有料のSSL証明書もマイドメインじゃないと取得はできない。
正規のSSL証明書を取得するには絶対にマイドメインは必要。

デメリットは、年額料金がかかる。
とはいえ、今は安いので280円〜とれるけどね。
あと、気をつけなきゃならないのは、ドメインを取得するレジストラによってはwhoisに個人情報が大公開されるので気をつけたい。



マイドメインを取得する



今回はムームードメインで設定する方法を。
べつにお名前.comでもいいのだが、kyoji-kuzunoha.comを取得した当時は、ムームードメインで取得するとWhoisに後悔する情報をムームードメインを運営する会社にすることが出来たため、そこで取得した名残。

今はお名前.comでもWhois情報を変更できるみたいなので、どちらでもいい。

取得方法はここに懇切丁寧に書いてある。
ここで気をつけなきゃならないのが、ここの設定の4.情報の公開部分、
弊社の情報を代理公開するってところ。


NewImage



これにしないと自分の個人情報を全世界に大公開するハメになるので気をつけよう。



取得したドメインを自分のVPSに紐付ける


取得したらコンパネにログインする。


Domain



取得したドメインの詳細をクリック。


Domain 1



ネームサーバーの設定変更をクリック。


Domain 2



ムームードメインのネームサーバ(ムームーDNS)を使用するを選択し、ネームサーバの設定変更をクリック。


Domain 4


Domain 6



こんどはネームサーバ設定変更のサービス、ムームーDNSのセットアップをクリック。


Domain 8


種別をAにし、内容にVPSのIPアドレスを入力。(さくらやDTIのVPSの場合)
今回は2つ目の欄にwwwを指定しているが、www.マイドメインというウェブサーバーを立てる場合は必要だが、特に必要ない場合は一行目だけでよい。
両方入力してもどちらでも構わない。
DNSに、kyoji-kuzunoha.comにアクセスがあっても、www.kyoji-kuzunoha.comにアクセスがあっても同じIPアドレスを返す、という設定。

意味がわからないよ!って思うのなら、No.1だけの入力で問題ない。

入力したらセットアップ情報変更をクリック。


Domain 10



これで終了。
3時間ほど放置すると、マイドメインにVPSのIPアドレスが紐付けられる。

多分、お名前.comでも似たようなものだと思う。



確認してみよう


Macの場合、コンソールを立ち上げ、

$ ping -c 4 マイドメイン エンターキー

を行い、
64 bytes from VPSIPアドレス: icmp_seq=0 ttl=43 time=43.729 ms

のように時間が返ってくればうまく設定されている。
TimeOutになるならまだ紐付けられていないか設定が間違っている。

Windowsの場合もアクセサリ→コマンドプロンプトを立ち上げ、

ping マイドメイン エンターキー

を行い、同じように数字が返ってくれば紐付けられている。

コンソールからログインする時にIPアドレスではなく毎ドメインを指定してもログイン出来るようになっているので、試してみよう。



意外に単純


ドメインなんて自分には関係ないや。
と思っていても、設定してみると意外に身近なものに感じるでしょ?
ITの世界は複雑怪奇なものだが、なるべくわかりやすくしようと努力されている。

これで自分のVPSに自分が考えた名前がついた。
次回はメールサーバーを立ててみよう。
間に合えば明日。
間に合わなければ数日後更新します。


DTIのVPSにiptables(ファイアウォール)を適用する

firewall

DTIのVPSにimotenを設定してdocomoメールが送受信出来るようになったのはいいが、そのまま放置しておくと悪意のあるユーザーに乗っ取られる可能性もある。
可能性を減らすためにもファイアウォールくらいは設定しておこう。

セキュリティを高く保ち、乗っ取りを防ぐのはVPSユーザーの大切な義務。
必ず適用してセキュリティを高く保つ努力をしよう。


※注意

下記設定のどちらかを終了したものとして書いています。

【Gmail】CentOS5.x(32bit)でimotenを設定して@docomo.ne.jpメールを使う【主にDTI編】

【imoten】SIMフリーiPhoneで、iモードメール@docomo.ne.jpを使ってみた。設定編【yahoo!版】



iptables(ファイアウォール)のインストール


VPSにiptablesにiptablesをインストールする。

[root@ ~]# yum -y install iptables エンターキー

これでiptablesがインストールされた。



iptablesの編集


[root@ ~]# vi /etc/sysconfig/iptables エンターキー

何も書いていないまっさらなファイルが開くので、下記をコピペする。


—ここから—

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:FIREWALL – [0:0]

-A INPUT -j FIREWALL
-A FORWARD -j FIREWALL
-A FIREWALL -i lo -j ACCEPT
-A FIREWALL -s 10.0.0.0/8 -j DROP
-A FIREWALL -s 172.16.0.0/12 -j DROP
-A FIREWALL -s 192.168.0.0/16 -j DROP
-A FIREWALL -d 255.255.255.255 -j DROP
-A FIREWALL -d 224.0.0.1 -j DROP
-A FIREWALL -p icmp –icmp-type echo-request -m limit –limit 1/s –limit-burst 4 -j ACCEPT
-A FIREWALL -p udp –sport 53 -j ACCEPT
-A FIREWALL -p icmp –icmp-type any -j ACCEPT
-A FIREWALL -p 50 -j ACCEPT
-A FIREWALL -p 51 -j ACCEPT
-A FIREWALL -p udp –dport 5353 -d 224.0.0.251 -j ACCEPT
-A FIREWALL -p udp -m udp –dport 631 -j ACCEPT
-A FIREWALL -p tcp -m tcp –dport 631 -j ACCEPT
-A FIREWALL -m state –state ESTABLISHED,RELATED -j ACCEPT

# imoten 587, SSH 3843
-A FIREWALL -m state –state NEW -m tcp -p tcp –dport 587 -j ACCEPT
-A FIREWALL -m state –state NEW -m tcp -p tcp –dport 3843 -j ACCEPT

-A FIREWALL -j REJECT –reject-with icmp-host-prohibited

COMMIT

—ここまで—


-A FIREWALL -m state –state NEW -m tcp -p tcp –dport 3843 -j ACCEPT

ここの部分はリモートログインをするためのポートを指定している。
TeraTermでログインする時のポートと言うところに記入する数字。
SSHのポートはDTIでの初期設定の3843にしてあるが、別の番号にしているのならその番号を記入すること。

ここを間違うと遠隔ログインができなくなって泣きを見る。


-A FIREWALL -m state –state NEW -m tcp -p tcp –dport 587 -j ACCEPT


ここの部分はメールのやり取りに使うポートを指定している。
メールは587のポートを介して使っているが、送信メールをSSL化している場合は465に変えよう。

コピペをするときに注意したいのは、コードに無駄なスペースがあってはならない。
COMMIT以降には改行もあってはならない。

これだけは注意すること!
無駄なスペースや改行があるとエラーが出て起動しない。



iptablesの再起動


[root@ ~]# /etc/rc.d/init.d/iptables start エンターキー


でiptablesをリスタートする。


iptables: ファイアウォールルールを適用中:       [ OK ]


と出れば成功。
もし失敗したら、iptablesのなかに無駄なスペースがないか探し、再起動する。


[root@ ~]# /etc/rc.d/init.d/iptables restart エンターキー


iptables: ファイアウォールルールを消去中:       [ OK ]
iptables: チェインをポリシー ACCEPT へ設定中filter   [ OK ]
iptables: モジュールを取り外し中:           [ OK ]
iptables: ファイアウォールルールを適用中:       [ OK ]

と出力されれば成功。


[root@ ~]# iptables -L エンターキー


を行い、ずらっと文字列が出てくれば起動している。



実は結構攻撃されているVPS


借りたままだとなんのセキュリティ設定もされていない。
乗っ取られるとスパムメールをビシバシ送られたりするので気をつけよう。