DTIサーバー構築26 「まだ信用してもらえないなんて」

信用されていない証明書を使っていると、不都合が起こる。
Google様に信用してもらえずに、Google AppsのメールでPOPしてもらえないのがその一例。
Dovecotで、サンプルの証明書をそのまま使っていると、

Unable to establish secure SSL connection
Unable to establish secure SSL connection

Unable to establish secure SSL connection to YOURDOMAIN.COM [ Help ]
Server returned error: “SSL error: self signed certificate”
と、怒られる。まあ、これは仕方ない。
設定を編集して、StartSSLで取得した証明書を使うように変更する。

$ sudo vi /etc/dovecot/conf.d/10-ssl.conf
と設定ファイルを開いて、次の部分を編集する。

#ssl_cert = </etc/pki/dovecot/certs/dovecot.pem
#ssl_key = </etc/pki/dovecot/private/dovecot.pem
ssl_cert = </etc/pki/tls/certs/domain.pem
ssl_key = </etc/pki/tls/private/domain.pem

あと、秘密鍵にパスワードがかかっているので、以下の部分にそのパスワードを入れる。

ssl_key_password = PASSWORD
保存して再起動すれば、もう怒られないはず、

$ sudo service dovecot start
だった。
だが、HTTPSで成功したStartSSLの証明書を使っていても、

Unable to establish secure SSL connection
Unable to establish secure SSL connection

Unable to establish secure SSL connection to YOURDOMAIN.COM [ Help ]
Server returned error: “SSL error: unable to verify the first certificate”
と、怒られる。
で、対処法は、自分の証明書にStartSSLの証明書をくっつける。
まず、
http://www.startssl.com/certs/ca-bundle.pem
からStartSSLの証明書をダウンロード。
適当なフォルダにファイルをアップロード。
面倒なら、エディタでペースト。

$ sudo vi ca-bundle.pem
その後に、自分の証明書と、StartSSLの証明書をくっつける。

$ sudo cat /etc/pki/tls/certs/domain.pem ca-bundle.pem > domain.bundled.pem
続いて設定ファイルの編集。

$ sudo vi /etc/dovecot/conf.d/10-ssl.conf

次の部分を少し変える。

#ssl_cert = </etc/pki/dovecot/certs/dovecot.pem
#ssl_key = </etc/pki/dovecot/private/dovecot.pem
#ssl_cert = </etc/pki/tls/certs/domain.pem
ssl_cert = </etc/pki/tls/certs/domain.bundled.pem
ssl_key = </etc/pki/tls/private/domain.pem

以上で、再起動後はGoogleさんも認めてくれるはず。

$ sudo service dovecot start
これでもダメなら、、、わかりません。

DTIサーバー構築25 「信じてもらえると思ってた」

StartSSLの証明書をやっとこさ取ったので、サーバーに入れてみる。
一度CAcertの証明書でやっているので、それと同じ。

$ sudo vi /etc/httpd/conf.d/ssl.conf
以下の部分を取得した秘密鍵と証明書に変更します。

SSLCertificateFile /etc/pki/tls/certs/domain.pem
SSLCertificateKeyFile /etc/pki/tls/private/domain.pem
Apacheを再起動して、

$ sudo service httpd restart
httpd を停止中:                                            [  OK  ]
httpd を起動中:                                            [  OK  ]

さて、ブラウザで開いてみよう。

https://yourdomain.com/

待ちに待った「この証明書は有効です。」!!
この証明書は有効です。
この証明書は有効です。
良かったね〜。

DTIサーバー構築24 「まだまだ、だよ」

さて、ログインが出来るようになったら、ドメインの認証をする。
あなたが所有するドメインを入力。

すると、whois情報を手がかりに、認証で利用するためのメールアドレスが一覧で表示されるので、どれかを選択。
(前にも書いたが、Google Appsを利用してる場合は、デフォルトでpostmasterが利用できない。グループを作ればいけるけどね。)

で、メール内のコードをコピーして

貼り付ける。

成功!

さて、秘密鍵を作成しようか。
既に作成済みならスキップできる。
なるべく長いパスワードで自衛しよう。

秘密鍵はテキストで表示されるので、コピーして大切に大事にこっそり保存しておこう。

ドメインを指定して、

証明書のサブドメインを指定。
ちなみにマルチサブドメイン(*)は、無料では作れない。ケチ!

準備が完了

やっと証明書ができたよ。
大事に保存してね。

さて、続いてClass2の証明書を有料で、、、取ってね。

それでは、サーバーに入れましょうかね。

DTIサーバー構築23 「忘れないように、こうしてあげる」

StartSSLへログイン可能になった。
ということで、次のFAQページを参考に証明書をバックアップする。
(参考にしなくても難しいものではないが。)
4.) How do I backup my client certificates?
4.) How do I backup my client certificates?
まずは、キーチェーンアクセスを起動。
キーチェーンアクセス
キーチェーンアクセス

この中に、登録に使ったメールアドレスの証明書があるはず。

キーチェーン
キーチェーン

メニューから「書き出す」を選択しましょう。って、ほとんどモザイクで見えへんやん!!

を書き出す
を書き出す

で、ファイル名を書いて保存。

証明書の保存
証明書の保存

パスワードを入力して暗号化して書き出し!

パスワード忘れると使えなくなるよ。
パスワード
パスワード

ちなみに他のMac等で利用したいときは、ファイルをコピーして、ダブルクリックでパスワードを入力してね。

DTIサーバー構築22 「あなたなら信じてもらえるかも」

StartSSLなら大概のブラウザに信用してもらえる。
そう思った私は、いてもたってもいられなくなり、すぐに電車に飛び乗った。
のではなく、次のページヘ急いだ。

http://www.startssl.com/
http://www.startssl.com/

次の表をみると無料で取得できるのは、Level1のみ。マルチドメインには対応していないので、そこは注意!

Comparison Chart
Comparison Chart

さて、では、もうそろそろ、やっとこさ、次のページから作成に入りましょう。

StartSSL™ Free
StartSSL™ Free

赤枠部分をクリックして、Express Laneへ GO!!

Authenticate or Sign-up?
Authenticate or Sign-up?
すると、まずは、個人情報の入力ページとなる。

Personal Enrollment Details
Personal Enrollment Details

Continueをクリックすると、確認画面が現れるので、OK!

confirm
confirm

すると、メールが届くので、Autherntication Codeをコピー!

Your Authentication Code
Your Authentication Code

そんでもって、ペースト!

Complete Registration
Complete Registration

&、Continue!

Additional Verification Required
Additional Verification Required
さて、待ってると、何やら想定外のメールが。
ほんとに?
ほんとに?
しょうがないので、適当な英語で返信。
ほんまに!
ほんまに!

すると、やっとこさ認められたみたいで、メールが届く。

(ちなみに、2回ほどここまでの作業を行ったが、2回目はすんなり通った。
既に入力されている情報と同じだったからか?)

ほんまやったんかいな〜
ほんまやったんかいな
メール内のアドレスを開いて、確認用のコードを入力!
Complete Registration
Complete Registration

秘密鍵の長さを選択。とりあえず2048で良いでしょ。

Generate Private Key
Generate Private Key

長い。手順が長い。もう嫌だ〜。Install !!

Install Certificate
Install Certificate
やっとここでログインに使う証明書がダウンロードされ、自動的に適用される。
クライアント証明書のインストール
クライアント証明書のインストール

証明書を表示。イヒヒヒヒヒ

クライアント証明書
クライアント証明書
忘れないうちにバックアップしておきたい。

なぜならこれがないと、ログイン出来ないから。

(ちなみに私は、MacBook Airが壊れて証明書が復旧できなかったのは内緒。)