自己満足なBLOG

カテゴリー: PC

DTIサーバー構築２６「まだ信用してもらえないなんて」

信用されていない証明書を使っていると、不都合が起こる。
Google様に信用してもらえずに、Google AppsのメールでPOPしてもらえないのがその一例。
Dovecotで、サンプルの証明書をそのまま使っていると、

Unable to establish secure SSL connection

Unable to establish secure SSL connection to YOURDOMAIN.COM [ Help ]
Server returned error: “SSL error: self signed certificate”
と、怒られる。まあ、これは仕方ない。
設定を編集して、StartSSLで取得した証明書を使うように変更する。

$ sudo vi /etc/dovecot/conf.d/10-ssl.conf
と設定ファイルを開いて、次の部分を編集する。

#ssl_cert = </etc/pki/dovecot/certs/dovecot.pem
#ssl_key = </etc/pki/dovecot/private/dovecot.pem
ssl_cert = </etc/pki/tls/certs/domain.pem
ssl_key = </etc/pki/tls/private/domain.pem

あと、秘密鍵にパスワードがかかっているので、以下の部分にそのパスワードを入れる。

ssl_key_password = PASSWORD
保存して再起動すれば、もう怒られないはず、

$ sudo service dovecot start
だった。
だが、HTTPSで成功したStartSSLの証明書を使っていても、

Unable to establish secure SSL connection

Unable to establish secure SSL connection to YOURDOMAIN.COM [ Help ]
Server returned error: “SSL error: unable to verify the first certificate”
と、怒られる。
で、対処法は、自分の証明書にStartSSLの証明書をくっつける。
まず、
http://www.startssl.com/certs/ca-bundle.pem
からStartSSLの証明書をダウンロード。
適当なフォルダにファイルをアップロード。
面倒なら、エディタでペースト。

$ sudo vi ca-bundle.pem
その後に、自分の証明書と、StartSSLの証明書をくっつける。

$ sudo cat /etc/pki/tls/certs/domain.pem ca-bundle.pem > domain.bundled.pem
続いて設定ファイルの編集。

$ sudo vi /etc/dovecot/conf.d/10-ssl.conf

次の部分を少し変える。

#ssl_cert = </etc/pki/dovecot/certs/dovecot.pem
#ssl_key = </etc/pki/dovecot/private/dovecot.pem
#ssl_cert = </etc/pki/tls/certs/domain.pem
ssl_cert = </etc/pki/tls/certs/domain.bundled.pem
ssl_key = </etc/pki/tls/private/domain.pem

以上で、再起動後はGoogleさんも認めてくれるはず。

$ sudo service dovecot start
これでもダメなら、、、わかりません。

2013年9月10日
DTIサーバー構築２５「信じてもらえると思ってた」

StartSSLの証明書をやっとこさ取ったので、サーバーに入れてみる。
一度CAcertの証明書でやっているので、それと同じ。

$ sudo vi /etc/httpd/conf.d/ssl.conf
以下の部分を取得した秘密鍵と証明書に変更します。

SSLCertificateFile /etc/pki/tls/certs/domain.pem
SSLCertificateKeyFile /etc/pki/tls/private/domain.pem
Apacheを再起動して、

$ sudo service httpd restart
httpd を停止中: [ OK ]
httpd を起動中: [ OK ]

さて、ブラウザで開いてみよう。

https://yourdomain.com/

待ちに待った「この証明書は有効です。」！！

この証明書は有効です。

良かったね〜。

2013年9月8日
DTIサーバー構築２４「まだまだ、だよ」

さて、ログインが出来るようになったら、ドメインの認証をする。

あなたが所有するドメインを入力。

すると、whois情報を手がかりに、認証で利用するためのメールアドレスが一覧で表示されるので、どれかを選択。
（前にも書いたが、Google Appsを利用してる場合は、デフォルトでpostmasterが利用できない。グループを作ればいけるけどね。）

で、メール内のコードをコピーして

貼り付ける。

成功！

さて、秘密鍵を作成しようか。
既に作成済みならスキップできる。
なるべく長いパスワードで自衛しよう。

秘密鍵はテキストで表示されるので、コピーして大切に大事にこっそり保存しておこう。

ドメインを指定して、

証明書のサブドメインを指定。
ちなみにマルチサブドメイン(*)は、無料では作れない。ケチ！

準備が完了

やっと証明書ができたよ。
大事に保存してね。

さて、続いてClass2の証明書を有料で、、、取ってね。

それでは、サーバーに入れましょうかね。

2013年9月6日
DTIサーバー構築２３「忘れないように、こうしてあげる」

StartSSLへログイン可能になった。
ということで、次のFAQページを参考に証明書をバックアップする。
（参考にしなくても難しいものではないが。）

4.) How do I backup my client certificates?

まずは、キーチェーンアクセスを起動。

キーチェーンアクセス

この中に、登録に使ったメールアドレスの証明書があるはず。

キーチェーン

メニューから「書き出す」を選択しましょう。って、ほとんどモザイクで見えへんやん!!

を書き出す

で、ファイル名を書いて保存。

証明書の保存

パスワードを入力して暗号化して書き出し！

パスワード忘れると使えなくなるよ。

パスワード

ちなみに他のMac等で利用したいときは、ファイルをコピーして、ダブルクリックでパスワードを入力してね。

2013年9月4日
DTIサーバー構築２２「あなたなら信じてもらえるかも」

StartSSLなら大概のブラウザに信用してもらえる。
そう思った私は、いてもたってもいられなくなり、すぐに電車に飛び乗った。
のではなく、次のページヘ急いだ。

http://www.startssl.com/

次の表をみると無料で取得できるのは、Level1のみ。マルチドメインには対応していないので、そこは注意！

Comparison Chart

さて、では、もうそろそろ、やっとこさ、次のページから作成に入りましょう。

StartSSL™ Free

赤枠部分をクリックして、Express Laneへ GO!!

Authenticate or Sign-up?

すると、まずは、個人情報の入力ページとなる。

Personal Enrollment Details

Continueをクリックすると、確認画面が現れるので、OK！

confirm

すると、メールが届くので、Autherntication Codeをコピー！

Your Authentication Code

そんでもって、ペースト！

Complete Registration

＆、Continue！

Additional Verification Required

さて、待ってると、何やら想定外のメールが。

ほんとに？

しょうがないので、適当な英語で返信。

ほんまに！

すると、やっとこさ認められたみたいで、メールが届く。

（ちなみに、２回ほどここまでの作業を行ったが、２回目はすんなり通った。

既に入力されている情報と同じだったからか？）

ほんまやったんかいな

メール内のアドレスを開いて、確認用のコードを入力！

Complete Registration

秘密鍵の長さを選択。とりあえず2048で良いでしょ。

Generate Private Key

長い。手順が長い。もう嫌だ〜。Install !!

Install Certificate

やっとここでログインに使う証明書がダウンロードされ、自動的に適用される。

クライアント証明書のインストール

証明書を表示。イヒヒヒヒヒ

クライアント証明書

忘れないうちにバックアップしておきたい。

なぜならこれがないと、ログイン出来ないから。

（ちなみに私は、MacBook Airが壊れて証明書が復旧できなかったのは内緒。）

2013年9月3日