以前よりApache 2.0.54(Win32)でHPを運営していたのですが、
ログインページなどでパスワードがサーバーへ送られる途中にデータを盗聴される危険性を考え、
通信内容の暗号化を目的としてSSL導入を検討することになり、
現在、普段のサーバーとは別のPCをテスト専用機にして苦戦中です。
ApacheもPerlもOpenSSLも完全に新規インストールです。
(Apacheのhttpd.confは普段のサーバーから流用し、説明どおりに設定を変更しました)
http://www.aconus.com/~oyaji/www/apache_win_ssl.htm
http://www.aconus.com/~oyaji/www/certs_win.htm
こちらでとても分かりやすく説明されていたので、
そのとおりまったく同じように設定し、
どうにかSSL導入までは成功しました。
(https:でアクセスするとセキュリティの警告が出てOKで進める状態)
ここまでは順調だったのですが、クライアントがセキュリティの警告を出さないようにできるよう、
http://www.aconus.com/~oyaji/www/ssl_client.htm
こちらのブラウザへのインポート用のCA証明書(derファイル)の作成をやってみたのですが、
インポートしてからアクセスすると、おそらくNo.5035で言われているものと同じように、
エラーでアクセスできなくなります。
(サーバーからの404や500などのエラーがなく、なんだかよく分からない状態)
自分の間違えの可能性も考え3回ほど同じ作業を最初からやり直したのですが、だめでした。
これはなぜなのでしょうか。
そもそも、derファイルの作成なのですが、
http://www.aconus.com/~oyaji/www/certs_win.htm
こちらに書いてある
openssl x509 -inform pem -in ./demoCA/cacert.pem -outform der -out ./demoCA/ca.der
というやり方と、
http://www.aconus.com/~oyaji/www/ssl_client.htm
こちらに書いてある
openssl x509 -inform pem -in ca.crt -outform der -out ca.der
というやり方、少し違うような気がするのですが、どちらが正しいのでしょうか。
どちらでも良いのでしょうか。
-inの後、.pemと.crtの違いがあるような気がするのですが・・・
また、後者の場合、自分がたどってきたやり方だとca.crtが存在しないのですが、
どうしたら良いのでしょうか。
よく分からないので拡張子が同じserver.crtでやってみましたが、だめでした。
最後になりましたが、自分の環境です。
同じPC上で確認しているので、テスト環境はサーバーもクライアントも同じになります。
hostsファイルに「192.168.0.2 mysite.jp」のような追記を行い、
ネットワークを経由せずにホスト名でのアクセスでテストしています。
よろしくお願いします。
Windows XP Pro SP1
Internet Explorer 6.0
Apache_2.0.54-Openssl_0.9.8-Win32.zip(ダウンロードファイル名)
Win32OpenSSL-v0.9.8.exe(ダウンロードファイル名)
> 以前よりApache 2.0.54(Win32)でHPを運営していたのですが、
> ログインページなどでパスワードがサーバーへ送られる途中にデータを盗聴される危険性を考え、
> 通信内容の暗号化を目的としてSSL導入を検討することになり、
> 現在、普段のサーバーとは別のPCをテスト専用機にして苦戦中です。
> ApacheもPerlもOpenSSLも完全に新規インストールです。
> (Apacheのhttpd.confは普段のサーバーから流用し、説明どおりに設定を変更しました)
>
> http://www.aconus.com/~oyaji/www/apache_win_ssl.htm
> http://www.aconus.com/~oyaji/www/certs_win.htm
> こちらでとても分かりやすく説明されていたので、
> そのとおりまったく同じように設定し、
> どうにかSSL導入までは成功しました。
> (https:でアクセスするとセキュリティの警告が出てOKで進める状態)
>
> ここまでは順調だったのですが、クライアントがセキュリティの警告を出さないようにできるよう、
> http://www.aconus.com/~oyaji/www/ssl_client.htm
> こちらのブラウザへのインポート用のCA証明書(derファイル)の作成をやってみたのですが、
> インポートしてからアクセスすると、おそらくNo.5035で言われているものと同じように、
> エラーでアクセスできなくなります。
> (サーバーからの404や500などのエラーがなく、なんだかよく分からない状態)
>
> 自分の間違えの可能性も考え3回ほど同じ作業を最初からやり直したのですが、だめでした。
> これはなぜなのでしょうか。
>
> そもそも、derファイルの作成なのですが、
> http://www.aconus.com/~oyaji/www/certs_win.htm
> こちらに書いてある
> openssl x509 -inform pem -in ./demoCA/cacert.pem -outform der -out ./demoCA/ca.der
> というやり方と、
> http://www.aconus.com/~oyaji/www/ssl_client.htm
> こちらに書いてある
> openssl x509 -inform pem -in ca.crt -outform der -out ca.der
> というやり方、少し違うような気がするのですが、どちらが正しいのでしょうか。
> どちらでも良いのでしょうか。
> -inの後、.pemと.crtの違いがあるような気がするのですが・・・
>
> また、後者の場合、自分がたどってきたやり方だとca.crtが存在しないのですが、
> どうしたら良いのでしょうか。
> よく分からないので拡張子が同じserver.crtでやってみましたが、だめでした。
とりあえず修正しておきました。3年間かけて書いてきたので時間的なずれがあるのと、
200Pぐらいの内容の全ての関係を覚えていられるほどの歳でもないですし、昼間から
BBSに書き込めるほど時間も自由にはならないのでこれぐらいで簡便してください。
ある程度わかるとは思いますが、後者は古い内容です。
ちなみに、-inで指定しているのはderファイル化する元になるCA証明書ですから、自分が作ってもいないものを指定しようがないので、後者はやりようがない話です。
No5042等で証明書が意図した形でできているか、確認してはどうですか?
> とりあえず修正しておきました。3年間かけて書いてきたので時間的なずれがあるのと、
> 200Pぐらいの内容の全ての関係を覚えていられるほどの歳でもないですし、昼間から
> BBSに書き込めるほど時間も自由にはならないのでこれぐらいで簡便してください。
とても役に立つ情報を提供してくださり感謝しています。
> No5042等で証明書が意図した形でできているか、確認してはどうですか?
どのようにできれば正常なのか分かりませんが、
一応確認した感じだと問題はなさそうに思えます。
http://www.aconus.com/~oyaji/www/ssl_client.htm
こちらで配布されているca.derをインポートすると
警告を出さずにこちらのサイトをhttps:で表示できるようになるので、
自分で作成したca.derと比較してみました。
正しいのか間違っているのかは分からないのですが、違う点は、
・シリアル番号
前者 00
後者 00 ee e9 6d 39 a5 3c 9e 14
・署名アルゴリズム(多分設定の問題?)
前者 md5RSA
後者 sha1RSA
・発行者
前者 項目L(Edogawa)がある
後者 項目Lがない
・有効期間の終了(多分設定の問題?できれば1年後にしたい)
前者 10年後
後者 3年後
・サブジェクト
前者 項目L(Edogawa)がある
後者 項目Lがない
・機関キー識別子
前者 項目L(Edogawa)がある
後者 項目Lがない
・基本制限
前者 Subject Type=CA
後者 Subject Type=End Entity
・Netscape証明書の種類
前者 SSL CA, SMINE CA (06)
後者 SSL サーバー認証 (40)
このように、結構あります。
もちろんキーが違うのは当然なので書いていませんが、
これで良いのかがよく分からない部分が多々あります。
特に「項目Lがない」というのが3つほどありますが、
作成時にLocality Nameは「Shinjuku」と指定しました。
また、server.crtも見てみましたが、
発行者のところにはやはり項目Lがなく、
サブジェクトにはありました。
自分でできる範囲でいろいろと試してはいるのですが、やはりどうしてもできません。
結論から先に言うと、また本家の0.9.8はだめです。
証明書を作るだけならバージョンはさほど関係ないので、0.9.7gでやってはどうですか?ただし、おやじは未確認なので、おやじの0.9.7eなら確実にできますから、こちらを使ったほうがいいかもしれません。
署名アルゴリズムは、デフォルトを0.9.8からsha1にしたようです。
openssl.cnfを変更すれば0.9.7xでもsha1でも作成できます。
> 結論から先に言うと、また本家の0.9.8はだめです。
> 証明書を作るだけならバージョンはさほど関係ないので、0.9.7gでやってはどうですか?ただし、おやじは未確認なので、おやじの0.9.7eなら確実にできますから、こちらを使ったほうがいいかもしれません。
0.9.8のバグなのか、仕様変更なのか・・・
おやじさんと同じように0.9.7eでやってみて、また報告します。
> 署名アルゴリズムは、デフォルトを0.9.8からsha1にしたようです。
> openssl.cnfを変更すれば0.9.7xでもsha1でも作成できます。
んー本当になんとなくなのですが、md5のほうが個人的には好きです。
まずはデフォルト状態でうまくできるかやってみて、
そのあとmd5にできるよう設定を探してみます。
> > 結論から先に言うと、また本家の0.9.8はだめです。
> > 証明書を作るだけならバージョンはさほど関係ないので、0.9.7gでやってはどうですか?ただし、おやじは未確認なので、おやじの0.9.7eなら確実にできますから、こちらを使ったほうがいいかもしれません。
>
> 0.9.8のバグなのか、仕様変更なのか・・・
> おやじさんと同じように0.9.7eでやってみて、また報告します。
>
> > 署名アルゴリズムは、デフォルトを0.9.8からsha1にしたようです。
> > openssl.cnfを変更すれば0.9.7xでもsha1でも作成できます。
>
> んー本当になんとなくなのですが、md5のほうが個人的には好きです。
> まずはデフォルト状態でうまくできるかやってみて、
> そのあとmd5にできるよう設定を探してみます。
おやじの日本語がおかしいですかね。0.9.7xはデフォルトでmd5です。従って、0.9.7eで作成すればmd5です。
因みにOpenssl0.9.8をおやじのクライアントに環境を作ってコンパイルしてみましたが、結果は当たり前ですが同じで、snapshotでもだめです。
アーカイブ中のNEWを見るとわかりますが、Openssl0.9.8では 'openssl ca'周りがかなり変更されているようで、どうもそこでシクッテいるようです。
Openssl0.9.8のCA.plは、その変更に対応して '-newca' の処理が、'openssl ca'を使う処理に変わっています。
これが原因なのと、LNをopenssl.cnfの[ policy_match ]でoptionalでも指定しないと組み込まれない問題の2点がありますが、0.9.8でもCA.plを改造すれば(昔に戻す。即ち、'openssl ca'を使わない。)ちゃんと作成できることがわかりました。
ただ、こんなことをしてまでやる話ではないので、証明書の作成なら0.9.7xを使えば問題はないと思います。
> おやじの日本語がおかしいですかね。0.9.7xはデフォルトでmd5です。従って、0.9.7eで作成すればmd5です。
> 因みにOpenssl0.9.8をおやじのクライアントに環境を作ってコンパイルしてみましたが、結果は当たり前ですが同じで、snapshotでもだめです。
> アーカイブ中のNEWを見るとわかりますが、Openssl0.9.8では 'openssl ca'周りがかなり変更されているようで、どうもそこでシクッテいるようです。
> Openssl0.9.8のCA.plは、その変更に対応して '-newca' の処理が、'openssl ca'を使う処理に変わっています。
> これが原因なのと、LNをopenssl.cnfの[ policy_match ]でoptionalでも指定しないと組み込まれない問題の2点がありますが、0.9.8でもCA.plを改造すれば(昔に戻す。即ち、'openssl ca'を使わない。)ちゃんと作成できることがわかりました。
> ただ、こんなことをしてまでやる話ではないので、証明書の作成なら0.9.7xを使えば問題はないと思います。
証明書類は0.9.7eで作成、Apache 2.0.54は0.9.8版で、正常に動くようになりました。
Lの項目も表示されるようになり、sha1もmd5になりました。
他の項目もだいたいおやじさんの作成したものと同じようになりました。
最後に心残りなのが、このおやじさんのサイトがもしなくなってしまったら、
他に詳しくWindows編のApache+SSLの設定方法が説明されているサイトがないので、
自分はもちろんなのですが、他の人のためにもぜひ今後も運営頑張ってほしいです。
とても役に立つ情報を提供してくださり、
また、問題解決に協力してくださり、ありがとうございました。
これからちょっとでかけますが、今日は夏休みをもらってます。
> 証明書類は0.9.7eで作成、Apache 2.0.54は0.9.8版で、正常に動くようになりました。
> Lの項目も表示されるようになり、sha1もmd5になりました。
> 他の項目もだいたいおやじさんの作成したものと同じようになりました。
昔書いたことがありますが、インターネット上の情報はアップされた瞬間から腐っていき版数が変わったら、そのままでは役立たずになってしまうことがあります。今回もその一例かもしれません。このサイトを始めたころ、情報をアップした2日後に新版がでてせっかく書いた内容がパーになった経験があります。従って、なるべく更新しようと思うのですが、仕事の関係もありなかなか時間がとれませんのでかなり古くなっているものもあります。せめてもと思い、コンテンツの更新日を出すようにしてます。古いものは古いなりに見ないと駄目ですから。
> 最後に心残りなのが、このおやじさんのサイトがもしなくなってしまったら、
> 他に詳しくWindows編のApache+SSLの設定方法が説明されているサイトがないので、
> 自分はもちろんなのですが、他の人のためにもぜひ今後も運営頑張ってほしいです。
> とても役に立つ情報を提供してくださり、
> また、問題解決に協力してくださり、ありがとうございました。
おやじがサイト運営しているのは、サーバは直接は関係ありませんが仕事の関係でインターネットの使われ方や実態を知りたいためにやっているので、特段の理由がないかぎり続けていきます。どうしてそう思われたのかが気になりますが、例の件かな?
娘のサイト運営の関係でやめられませんので、ご安心を・・・。
ところで、実は事件が発生してまして、zive.netからドメインを移転したのはいいのですが、googleさんからおやじのサイトが抹殺されてしまいアクセスが半減してしまいました。
301で移転をかけたので、zive.netがなくなっても問題ないだろうと踏んでいたのでしたが甘かったです。301で移転を開始してからアクセス数がガンガン減って、昔はproftpdやpostfixなんていうのがgoogleさんから来る最たるもので、リファラーのトップにgoogleさんがいて11万件/月のアクセスがあったのですが今ではたったの1万件/月です。検索内容も各デーモン名がオンパレードで、特にpostfixやproftpdは常にトップを争っていたのですが今では影も形もありません。なんとトップは「パソコンおやじ」で、後は多くても数10件という惨憺たる状態です。多くの方がproftpdやpostfixでおやじのサイトをリンクしてくださっているからですが、新しいドメイン名のサイトもありますが、多くが古いリンクなのでアクセスできず「パソコンおやじ」を検索して下っているものと思います。
アクセス数はさほど気になりませんが、リンク元が古いままだといつまでたっても本家のページランクは戻らない気がしますので、そのうち各サイトさんにお願いしようかと思っています。
対処方法をご存知の方がいたら、是非教えてください。多くの方がリンク先からおやじのサイトにこれなくなっています。全てのサイトさんにお願いはできないので、ページランクが戻れば改善できるかなと思っています。
> 昔書いたことがありますが、インターネット上の情報はアップされた瞬間から腐っていき版数が変わったら、そのままでは役立たずになってしまうことがあります。今回もその一例かもしれません。このサイトを始めたころ、情報をアップした2日後に新版がでてせっかく書いた内容がパーになった経験があります。従って、なるべく更新しようと思うのですが、仕事の関係もありなかなか時間がとれませんのでかなり古くなっているものもあります。せめてもと思い、コンテンツの更新日を出すようにしてます。古いものは古いなりに見ないと駄目ですから。
そうなんですよね・・・。
今回のように旧版のSSLも一緒に公開してあれば、
本家のSSLが新しくなっても旧版をパソコンおやじさんのサイトからダウンロードしてなんとかなるのですが・・・。
> おやじがサイト運営しているのは、サーバは直接は関係ありませんが仕事の関係でインターネットの使われ方や実態を知りたいためにやっているので、特段の理由がないかぎり続けていきます。どうしてそう思われたのかが気になりますが、例の件かな?
> 娘のサイト運営の関係でやめられませんので、ご安心を・・・。
えっと、例の件というと、どの件でしょう・・・。
ボケててごめんなさい。
> ところで、実は事件が発生してまして、zive.netからドメインを移転したのはいいのですが、googleさんからおやじのサイトが抹殺されてしまいアクセスが半減してしまいました。
> 301で移転をかけたので、zive.netがなくなっても問題ないだろうと踏んでいたのでしたが甘かったです。301で移転を開始してからアクセス数がガンガン減って、昔はproftpdやpostfixなんていうのがgoogleさんから来る最たるもので、リファラーのトップにgoogleさんがいて11万件/月のアクセスがあったのですが今ではたったの1万件/月です。検索内容も各デーモン名がオンパレードで、特にpostfixやproftpdは常にトップを争っていたのですが今では影も形もありません。なんとトップは「パソコンおやじ」で、後は多くても数10件という惨憺たる状態です。多くの方がproftpdやpostfixでおやじのサイトをリンクしてくださっているからですが、新しいドメイン名のサイトもありますが、多くが古いリンクなのでアクセスできず「パソコンおやじ」を検索して下っているものと思います。
> アクセス数はさほど気になりませんが、リンク元が古いままだといつまでたっても本家のページランクは戻らない気がしますので、そのうち各サイトさんにお願いしようかと思っています。
> 対処方法をご存知の方がいたら、是非教えてください。多くの方がリンク先からおやじのサイトにこれなくなっています。全てのサイトさんにお願いはできないので、ページランクが戻れば改善できるかなと思っています。
たしかにパソコンおやじさんのサイト、いろんな単語で検索してもなかなかひっかかりません。
自分もziveから乗り換えたとき、Googleの検索結果がすごく下がりました。
(今も完全には改善していませんが)
どこかのサイトに書いてありましたが、サイトマップを作ると良いらしいです。
Googleがそういう構造になっているからとかの理由で・・・。
実際にそのサイトはどんな単語で検索しても他の似た内容のサイトよりかなり上に出てました。
自分も今度やろうと思うのですが、もうやってたらごめんなさい。
> > おやじがサイト運営しているのは、サーバは直接は関係ありませんが仕事の関係でインターネットの使われ方や実態を知りたいためにやっているので、特段の理由がないかぎり続けていきます。どうしてそう思われたのかが気になりますが、例の件かな?
> > 娘のサイト運営の関係でやめられませんので、ご安心を・・・。
>
> えっと、例の件というと、どの件でしょう・・・。
> ボケててごめんなさい。
この例の件というのが何なのかが最後にどうしても気になるのですが・・・。
話せないような内容なら別にいいのですが、よろしければ何のことなのか教えていただけないでしょうか。
なんかモヤモヤしていて・・・。
> > > おやじがサイト運営しているのは、サーバは直接は関係ありませんが仕事の関係でインターネットの使われ方や実態を知りたいためにやっているので、特段の理由がないかぎり続けていきます。どうしてそう思われたのかが気になりますが、例の件かな?
> > > 娘のサイト運営の関係でやめられませんので、ご安心を・・・。
> >
> > えっと、例の件というと、どの件でしょう・・・。
> > ボケててごめんなさい。
>
> この例の件というのが何なのかが最後にどうしても気になるのですが・・・。
> 話せないような内容なら別にいいのですが、よろしければ何のことなのか教えていただけないでしょうか。
> なんかモヤモヤしていて・・・。
頻繁にこのBBSを訪れている方ならわかるはずですが、知らないなら、皆さんには関係ないことなので無視してください。
むしろ、「最後に心残りなのが、このおやじさんのサイトがもしなくなってしまったら、」というnumaさんの表現のほうがおやじには刺激的で、何でこういう表現をされたかのほうが気になりますが?
> 頻繁にこのBBSを訪れている方ならわかるはずですが、知らないなら、皆さんには関係ないことなので無視してください。
> むしろ、「最後に心残りなのが、このおやじさんのサイトがもしなくなってしまったら、」というnumaさんの表現のほうがおやじには刺激的で、何でこういう表現をされたかのほうが気になりますが?
多分知らないことなので自分には関係のないことなのですね。
自分はWindowsでApache 2.0でSSLをやるにはどうしたらよいのかをGoogleで探していて、
ようやくこのサイトに来れました。
なのでそれまではこのサイトを見ていませんでしたし、何も知りません。
Googleで探しているとき、WindowsでApache 2.0を解説していて、
SSL証明書の作成方法まで細かく書かれているサイトが他になかったので、
もしこのサイトがなくなったら、これからSSLを導入する人はもちろん、
自分がまた証明書を作り直そうとしたとき、手順が分からなくなって困るという意味で、
「おやじさんのサイトがなくなると困る」と書いただけです。
それ以上の意味は何もありません。
普通の意見だとは思うのですが、それだけで刺激的ということは、何かあって、そのことだと誤解されたのですね。
特に深追いはしません。ご心配おかけしました。
国語の勉強をするつもりはないですが、「最後に心残りなのが、・・・」というのは、永久の別れや永遠の決別の時に使う枕言葉ですから、使用する場面を考えないととんでもないことになりますよ。
「ぜんぜん大丈夫」とは、わけが違います。こちらはまだ可愛げがありますが・・。
> 国語の勉強をするつもりはないですが、「最後に心残りなのが、・・・」というのは、永久の別れや永遠の決別の時に使う枕言葉ですから、使用する場面を考えないととんでもないことになりますよ。
> 「ぜんぜん大丈夫」とは、わけが違います。こちらはまだ可愛げがありますが・・。
自分は「今回の話の最後」という意味で使っただけですので、特別な意味はありません。
(最近訪れた新人なので、事情や他の話の流れは何も知らないですし・・。)
読んだ人がどう取るかというだけで、別に間違えとかではないと思います。
おやじさんは何かあったということなので、それが気になっていて敏感なのかもしれませんが、
他の人が読んでも普通は変には感じないと思いますし、問題はないと思いますよ。
とは言え、今回は何も知らなかったので仕方ないですが、おやじさんの前では今後この表現は避けるようにしますね。
知らなかったとは言え不快な思いをさせてしまいすみませんでした。