自己署名証明書
~オレオレ証明書を作る~

2020/1/4

経緯

どうするか?

1. このまま見ないふりをする
   根本的な解決でない。
   常時SSL化の流れがあり、近い将来httpを全面的に否定するような流れにでもなるとも限らない。
2. 「保護されていない通信」と表示しないブラウザを使う
   きっと古いブラウザだと思う。
   ある日突然「保護されていない通信」と表示するかもしない。
3. 自己署名証明書を作ってみる
   自己署名証明書(オレオレ証明書)を信用するか否かが問題だ。
   アクセス時に警告が出るので、使い勝手に問題があるかもしれない。できれば、なにも言わずにアクセスしてほしい。
4. 専用の認証局を試す
   webserver以外に認証局(ルートCA)が必要でちょっと手間がかかる。
   証明書を必要とするwebserverが複数あるなら認証局を用意するのがよさそう。
   webserver1台なら、webserverに自己認証局を同居させるか?　自己署名証明書で足りるのでは?
   
5. 外部団体(認証サービス)に証明書の発行をお願いする
   外部団体にはベリサイン社、グローバルサイン社、シマンテック社などがあり、有償で証明書を発行している。
   このwebserverは外部からアクセスするつもりはない。外部団体に証明書をお願いするには、「外部団体がこのwebserverにアクセスできる」(実在性の確認)ことが前提になるので、却下。

apache(https設定)

dnf -y install mod_ssl

#/etc/httpd/conf.d/rewrite.confをつくる
<ifModule mod_rewrite.c>
      RewriteEngine On
      LogLevel alert rewrite:trace3
      RewriteCond %{HTTPS} off
      RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R,L]
</ifModule>

apache configtest

自己署名証明書をつくる

1. 秘密鍵を生成
2. CSR Certificate Signing Request生成
3. 自己署名証明書生成　秘密鍵を使いCSRに電子署名

#ろば電子版
cd /etc/pki/myCA
#秘密鍵生成
openssl genrsa 2048 > server.key

#CSR生成
openssl req -new -key server.key > server.csr
#いろいろ質問がある
#Country Name (2 letter code) [XX]:JP
#State or Province Name (full name) []:HKD
#Locality Name (eg, city) [Default City]:HKDT
#Organization Name (eg, company) [Default Company Ltd]:NITH
#Organizational Unit Name (eg, section) []:Takahashi Lab
#Common Name (eg, your name or your server's hostname) []:webserver.takahashi.lab
#Email Address []:.

#Please enter the following 'extra' attributes
#to be sent with your certificate request
#A challenge password []:
#An optional company name []:

#自己署名証明書生成
openssl x509 -req -signkey server.key < server.csr > server.crt 
#Signature ok
#subject=C = JP, ST = HKD, L = HKDT, O = NITH, OU = Takahashi Lab, CN = webserver.takahashi.lab
#Getting Private key

#/etc/httpd/conf.d/ssl.confで指定したディレクトリに証明をコピー
rm -rf /etc/httpd/conf/ssl.crt/ /etc/httpd/conf/ssl.key
mkdir -p /etc/httpd/conf/ssl.crt/ /etc/httpd/conf/ssl.key
cp server.crt /etc/httpd/conf/ssl.crt/
cp server.key /etc/httpd/conf/ssl.key/

firewall-cmd設定

#firewall-cmdでhttpsを許可する。
firewall-cmd --list-all;#httpsがないことを確認
firewall-cmd --add-service=https --permanent
firewall-cmd --reload
firewall-cmd --list-all;#httpsが追加されたことを確認

SANを追記する

#CSR生成　オプションをつけて質問を省略
mkdir /etc/pki/myCA; cd /etc/pki/myCA
openssl genrsa 2048 > server.key
openssl req -new -key server.key -subj "/C=JP/ST=HKD/L=HKDT/O=NITH/OU=Takahashi Lab/CN=webserver.takahashi.lab"> server.csr

#SAN値は外部ファイルに記述した
echo "subjectAltName = DNS:webserver.takahashi.lab, IP:192.168.xx.xx, IP:172.0.0.1" > san.txt

# 署名要求を秘密鍵で署名してサーバ証明書を作成する　　有効期限は3650日
openssl x509 -days 3650 -req -extfile san.txt -signkey server.key < server.csr > server.crt
rm -rf /etc/httpd/conf/ssl.crt/ /etc/httpd/conf/ssl.key
mkdir -p /etc/httpd/conf/ssl.crt/ /etc/httpd/conf/ssl.key
cp server.crt /etc/httpd/conf/ssl.crt/
cp server.key /etc/httpd/conf/ssl.key/
rm -f /var/www/html/webserver.takahashi.lab.crt
cp server.crt /var/www/html/webserver.takahashi.lab.crt
systemctl restart httpd

webブラウザに証明書をインポート

• Microsoft Windows10 + Google Chrome
• Microsoft Windows10 + Microsoft Edge
• Debian9(Stretch) Linux + Chromium
• Debian10(Buster) Linux + Chromium
• CentOS8 Linux + chromium