証明書の取得

本来はSECOMやVeriSign等に有料で証明してもらうのですが、今回は以前にも紹介したCACertを載せときます。

• CAcertから証明書をもらおう！(その0:紹介)
• CAcertから証明書をもらおう！(その1:アカウントの登録)
• CAcertから証明書をもらおう！(その2:鍵と申請書の作成)
• CAcertから証明書をもらおう！(その3:CAcertから証明書をもらう)

ということで、証明書の取得は省略します。とりあえず、サーバーの秘密鍵 server.key と サーバーの証明書 server.cer が手に入った事にします。

nginxに設定

nginxでの設定は簡単で、既存の設定をコピーして、80番ではなく443番に変更し、SSLを有効にしてサーバーの鍵・証明書のファイルを指定してあげるだけです。

ちょっとその部分だけ書いてみます。

server {
	listen   443 default_server ssl;
	server_name	_;
	ssl_certificate /keys/server.cer;
	ssl_certificate_key /keys/server.key;

	location / {
		この辺は適当に
	}
}

リバースプロキシとしてnginxとして使っている場合も同様です。

名前ベースのバーチャルホストを使っている場合

ドメイン名を複数つかってバーチャルホストを使っている場合もあると思います。SSLではアクセスされたサーバー名がわかる前に証明書を渡さなければならないので、名前ベースのバーチャルホストでSSLは利用できませんでした。

が、SNI(Server Name Indication)というプロトコル拡張ができたので、名前ベースのバーチャルホストでも可能になりました。(ブラウザによっては対応してません)

設定は簡単で、httpと同じくserver_nameを設定するだけです。

リバースプロキシとして使っている場合は、証明書を変えるために、バーチャルホストの数だけServerディレクティブを作ってあげてください。

もちろん上記のような本当にセキュアな通信が必要な場面では使えませんが、以前この投稿でApacheでSSLを有効にする際には「個人で勝手に作った認証局」から発行された（発行した？）「えせ証明書」を利用しましたが、それとは比較してはいけないぐらい十分すぎる証明書が頂け、利用できます。

ということで記事は長くなりそうなので、シリーズに分けて以下の順に進めていきたいと思います。
ついでにProFTPDもSSL対応にしてしまいます。メールサーバーは設定しません。
(「＊一部内容を変更してお届けしています」という注記がいつ入るかわかりませんが…)

1.CAcertにアカウントを登録する。
2.証明書を発行してもらうための「申請書」(CSR)を作成する。
3.証明書をもらう。
4.Apacheに証明書を登録する。
5.ProFTPDに証明書を登録し、FTPのSSLを有効にする。