• ベストアンサー
  • すぐに回答を!

CentOS5.4で「自作SSLサーバ証明書」作成途中の「Webサーバ

CentOS5.4で「自作SSLサーバ証明書」作成途中の「WebサーバのFQDN」 (「プライベートCA(認証局)」による「自作SSLサーバ証明書」を   作成時に手入力する項目の1つ) について教えてください。 お世話になります。 おそらく通常ですと、「WebサーバのFQDN」へは、 「www.~」から始まるURL値を手入力すると思います。 そこで質問内容ですが、WWWとあわせて、 他にFileZillaなどでFTPも利用しているサーバに対しましては、 上記致しました「www.~」から始まるURL値で、1つ「自作SSLサーバ証明書」を作成後に、 更に、 もう1つ別に、 今度は「ftp~」から始まるURL値で、別の「自作SSLサーバ証明書」を2つ目の証明書として 作成する必要があるのでしょうか? それとも、 上記致しました「www.~」から始まるURL値で、1つ「自作SSLサーバ証明書」を 作成しておけば、 それが、FTPを利用する際にも、 SSL通信であわせて、SSLとして利用可能な状態になるのでしょうか? 今回初めて1年更新の時期がきて、「自作SSLサーバ証明書」作成・更新を、 近日中に実施予定の為、 上記のご質問をさせていただきました。 宜しくお願い致します。

共感・応援の気持ちを伝えよう!

  • 回答数1
  • 閲覧数284
  • ありがとう数1

質問者が選んだベストアンサー

  • ベストアンサー
  • 回答No.1

 基本的に、サーバ構築時にSSL/TLS の設定として証明書キー設定し、その証明書ファイルをFTPサーバ(ProFTPD、Vsftpd、Pure-FTPd等)にて記述しておけばOKです。その証明書ファイルについては、共通のものでOKです。  通常その証明書キーについては、有効期限を設定し、セキュリティ確保された方が良いかと存んじます

共感・感謝の気持ちを伝えよう!

質問者からのお礼

「nnori7142」様 ご回答をいただきまして、 本当にありがとうございました。 近日中に、ご回答いただきました方法で実施してみます。 hiroasa21。

関連するQ&A

  • 「自作SSLサーバ証明書」を、OpenSSL + mod_sslと

    「自作SSLサーバ証明書」を、OpenSSL + mod_sslと Apache2.2で本日CentOS5.4に対して FTPとWWWに対して作成致しましたが、 (以下のWebサイトを見ながら一通り実施致して、   特にエラー等はありませんでした。   http://kajuhome.com/apache_ssl.shtml ) しかし、その後、 FileZillaを起動した際に、 証明書の「有効期限開始」と「有効期限終了」の 日付が、”以前と同じ値”のままでした。 どのようにすれば、 FileZillaの 「有効期限開始」の値が、本日の”2010/10/09”として、 「有効期限終了」の値が、来年の”2011/10/08”として、 表示されるように切り替わるのでしょうか? (それと、どこの情報を見れば、  正しく「自作SSLサーバ証明書」が組み込めているか?  などを判断(確認)することが出来るのでしょうか?) お世話になります。 宜しくお願い致します。

  • サーバ証明書のコモンネームについて

    サーバ証明書のコモンネーム(Common Name、一般名)について教えてください。 公的認証局のホームページを見ると、サーバ証明書のコモンネームはSSL接続するサイトのURL(FQDNまたはIPアドレス)とする、と記載されています。しかし当方の知り得る範囲で(イントラネット内ですが)、証明書のコモンネームとURLが異なるものがあります。(*を使っていて一部しかあっていない、などということではなく、まったく異なるドメイン名となっている) このことに関して以下について教えていただけませんでしょうか。 (1) 証明書のコモンネームとURLを一致させるというのは、サーバ証明書の仕組みとして必須なのでしょうか?それとも、努力目標やマナーといった「必ずしも一致させなくても良い」というレベルの取り決めなのでしょうか? (2) 当方にて、前述したコモンネームとURLが異なるサイトを表示させた場合、証明書エラーが出たり、URL欄が赤色で協調されたりということはありませんでした(当方はInternet Explorer8を使用)。コモンネームとURLが違う場合、Webブラウザはユーザには何ら警告を出さないものなのでしょうか? 以上、よろしくお願いいたします。

  • 自己署名証明書によるSSL通信について教えてください!

    SSL通信により、データを暗号化してWeb上でやりとりするシステムの構築を考えています。 そこで自己署名というのを考えているのですが、署名の流れがいまいち分かりません。 認証局利用の場合、私の理解では、 【サーバ側】 1.サーバ側でRSA秘密鍵を生成 2.RSA秘密鍵を元にCSRを作成 3.CSRファイルを認証局に送信 【認証局】 4.CA秘密鍵により暗号化し、サーバ証明書を作成 5.サーバ側にサーバ証明書を送信 【サーバ側】 6.クライアント側にサーバ証明書を送信 【クライアント側】 7.サーバ側よりサーバ証明書を受信する 8.認証局より公開鍵を取得する 9.認証局の公開鍵でサーバ証明書の暗号化された鍵(認証局の秘密鍵で暗号化されたもの)を復号する 10.復号した鍵により、サーバ証明書の暗号文を復号する となります。(間違いがある場合はご指摘下さい) では、自己署名を行う場合はどうなるのでしょうか? 単純にサーバ証明書を自分で作成すると考えてよろしいのでしょうか? CSRファイルの作成などもやはり行うのでしょうか? クライアント側の流れは変わらないのでしょうか? また、この操作は接続毎に毎回行うことになるのでしょうか? (秘密鍵、サーバ証明書は毎回変わるのでしょうか?) 初歩的な質問とは思いますが、よろしくお願いいたします。

  • SSL接続 中間CAの必要性

    制限されたネットワーク内でプライベート認証局(CA)を作成して、SSLを導入しようと考えています。 そこで疑問に思っていることがあるのですが、「中間CA」がよく利用されていますが、「中間CA」の必要性とは一体何なのでしょうか。 階層を設けることで「なりすまし」の防止対策、セキュリティ向上を狙っているのでしょうか。 認証局が階層設定しているから必要とかではなく、なぜそのような階層構造を行っているのか理由を知りたいです。 ベリサインなどのパブリック認証局では3階層、4階層(クロス)となっており、中間CA証明書が必要になっています。それはCAの階層構造が3階層、4階層となっており、中間CAが存在するため中間CA証明書が必要なのは理解できます。中間CAを実装しなくても、「CA証明書⇔サーバ証明書」と2階層でもSSL接続は可能ですよね。 また、パブリック認証局、プライベート認証局ともに「中間CA」の利用概念は同じなのでしょうか。 パブリック認証局は外部の不特定多数の人向けなので、意図的にそうゆう構造を用いているとか の理由などは存在するのでしょうか。 ご存じの方がおられましたら、教えていただきたいです。 よろしくお願いいたします。

  • Apacheのssl設定について

    以前、mod_sslの導入について質問させていただき、無事導入完了したのですが、 ssl通信がうまくいきません。 ご質問内容 (1)バックエンドのwebサーバとhttps通信する設定方法をを教えてください。  httpd.confもしくはssl.confどちらに設定するかも含めてご教示ください。 (2)必要な設定ファイル(証明書関連)があればそちらもご教示ください。 図の様なシステム構成でWebサーバAのApache設定です。 httpd.confの設定です。 <VirtualHost *:80> ServerName hogehoge.example.com RewriteEngine On SSLProxyEngine on RewriteRule ^/httpstest/(.*) https://192.168.1.1/$1 [P] SSLEngine on SSLCertificateFile /tmp/cert/server.pem SSLCertificateKeyFile /tmp/cert/serverkey.pem </VirtualHost> SSLCertificateFile:プライベート認証局で作成したWebサーバBのサーバ証明書 SSLCertificateKeyFile:WebサーバBで作成した秘密鍵 SSL設定をしない場合はクライアントにWebサーバBのhtml画面が表示されます。 SSL設定をすると Apacheのaccess_logに 192.168.1.1 - - [09/Dec/2010:16:24:20 +0900] "GET /" 400 557 "-" "-"と出力され、ブランク画面が表示されます。 error.logに出力はありません。 ssl_error_logに [Thu Dec 09 16:39:33 2010] [warn] RSA server certificate CommonName (CN) `xxxxxxx.local.domain' does NOT match server name!? と出力されますが、Ariasの問題らしいのでSSL設定とは直接関係無いようです。 よろしくお願いいたします

  • ■HTTPS通信の時の証明書について。■

    <構成図> 端末PC----WAN----Server(SSL,CA,WEB) <条件> 自己認証局(CA)により、https通信を検討しています。 認証方法としては、 1.サーバ証明書を利用する(URLのSection1)方法と 2.クライアント証明書を利用する(URLのSection2)があります。 <参考URL> http://park15.wakwak.com/~unixlife/practical/openssl.html ■質問1 端末PCから、Serverに通信するとき、 1.サーバ証明書の方法ですと、端末PCにサーバ証明書を入れなくても、 警告がでるが、通信はできそうですが、 2.クライアント証明書の方法も、端末PCにクライアント証明書をいれなくても、 警告がでるが、通信はできますか? ■質問2 上記の例だと、自己認証局(CA)による<条件>ですが、 外部CA認証局を利用する場合も、 1.サーバ証明書、2.クライアント証明書の方法ともに、 警告がでるが、通信はできるのでしょうか? 宜しくお願いします。

  • SSLを導入したい

    すみません。SSLを個人のPCに導入したいのです。しかし、SSLを導入するのに必要なものや仕方が分からないのです。有料の電子証明書を発行する認証局のサイトを見て、SSLの仕組みなどを見ても、頭から?が飛び出ます。 ローカルネットワーク内で、試験的に、SSLによる暗号化が行われているかテストしたいので、証明書を個人で作成するつもりです。 環境: OS : Windows XP Professional Webサーバ : Apache 2 この環境で(OSがWindowsでいいのかはわかりませんが、「Apacheを使う」環境という意味で)、SSL暗号化処理を1から構築するために、しなくてはいけないこと、用意することや、その手順について、詳しく教えていただけたら幸いです。

  • 「SSLプロトコルの検査機能」の安全性について

    Q1.「ESET Smart Security8」の設定で「SSLプロトコルを常に検査する」をONにするとブラウザのURL欄の鍵印をクリックしてサーバ証明書を確認すると、発行者が「ESET SSL Filter CA」となっていますが、これは、Superfishの様に、勝手にサーバ証明書を発行していると云う事ですか? ESET社が正規の認証局であっても、アプリで都度、サーバ証明書を発行するのは、Superfishi行為と云えるのでは? 一方、「SSLプロトコルを検査しない」をONにすると、オルジナルの正規の「VeriSign社のサーバ証明書」が表示されます。 Q2.「ESET Smart Security8」の仕様では、「SSLプロトコルを常に検査する」場合は、検査対象の「サーバ証明書」は使用出来ないので、代替としてESET社の「サーバ証明書」を使用すると云う事ですか? この仕様が非常に判り難く、納得がいかないのですが? 検査対象の「サーバ証明書」が検査OKであれば、何故、オリジナル原本の「サーバ証明書」が使用出来ないのですか? そもそも、ESET社の「サーバ証明書」は、当該サーバの安全性を保証・認証するものではないですよね? あたかも、Superfishの様に、勝手にアプリ用の「サーバ証明書」を都度、発行して、オリジナル原本の「サーバ証明書」に上書きしている様にしか見えませんが? Q3.Superfishの様に、「ESET Smart Security8」のESET社製「サーバ証明書」が、クラッカー犯罪者に抜き取られて、SSL通信が傍受・漏洩していると云う危険性はないのでしょうか? 本件の安全性を立証するバックデータで説明頂けると助かります。 Q4.「SSLプロトコルを常に検査する」機能は、クラッカー犯罪者がSSLプロトコルでマルウェアをダウンロードさせる様な行為を防御する為ですよね? この機能をOFFにすると「SSL通信では、一切、防御機能は働かずに、マルウェア等の被害を受けるリスクがある」と云う事ですか? それとも、この機能は、「サーバ証明書」の真偽だけをチェックしているだけですか? ※OKWaveより補足:「ESETセキュリティ ソフトウェア シリーズ」についての質問です。

  • SSLの証明書・秘密鍵について

    こんにちは。tatu456です。 LAN環境で RedHat Linux7.1JにてApache-SSLを導入し、セキュアなサーバを構築しようと思っているのですが、CA証明書・サーバ証明書・サーバ秘密鍵の作成方法、または入手方法がわかりません。 CA証明書については下記のURLを参考に作成してみたのですが、他の2点がよくわからないのです。 ご存じの方教えてください。 参考にしたURL:http://www.ipa.go.jp/security/fy12/contents/crack/soho/soho/chap3/ssl/apachessl.html

  • SSL通信を行っている際のURLのパラメータについて

    今回、SSL(Secure Sockets Layer)を使用してWebサイトを作成する事に なりました。SSLの事は勉強している段階です。 そこで現在不明な点がありますので、御質問させて頂きます。 <質問> SSLとは、[Webサーバ]-[クライアント]間でデータを暗号化して通信されますが、 URLに任意の情報(パラメータ)を付加した場合、URL自身も暗号化されるので しょうか? それとも、第3者からは丸見えなのでしょうか? 暗号化される対象がどの範囲までかよくわかりません。 皆様、御教授お願い致します。