ApacheでSSL(mod_ssl)を使用する場合の一連の流れ。

署名入り証明書の取得（購入）から設定までの一連の流れのまとめです。

自己署名証明書での解説ページが多いので、初めて証明書を購入してSSLの導入をする場合を想定して書いています。

サーバー環境はCentOS 5.1。環境が変わっても一連の流れと作業はほぼ同じです。

SSLで暗号化された通信の簡単な説明

1. サイトにアクセスするとサーバーから証明書と鍵(A)を受信
2. 証明書が安全な場合、鍵(A)を利用して通信データを暗号化
3. 暗号化したデータをサーバーに送信
4. サーバーは鍵(A)に対応した鍵(B)でデータを復元

上記の「証明書が安全な場合」の安全かどうかはどうやって判別すればいいのか？

証明書の安全を保証する為に認証局と呼ばれる第3者によって証明書に署名を付けてもらいます。その署名が無いものは安全性が確認出来ない為、オレオレ証明書などと呼ばれています。

署名付き証明書を手に入れるには

署名付き証明書を取得する為に証明書署名リクエスト(CSR: Certificate Signing Request)と呼ばれるものが必要になります。CSRには証明書の保有者の情報(名前・有効期限・FQDNなど)が含まれており、それを認証局に送り保有者情報の確認がおこなわれた後に署名付き証明書が手に入ります。

CSRの作成

CSRはOpenSSLのコマンドによる作成が一般的です（一部Webインターフェイスを提供しているところもあります）。

ここではコマンドラインによる作成を以下に挙げます。

# cd /etc/pki/tls/certs/
# openssl req -new -nodes -keyout myserver.key -out server.csr

上記コマンドを実行するとCSR作成の為に必要な情報の入力待ち状態になるので、情報を入力します。特別な理由が無ければWhoisの情報と同じものを入れた方がいいです。違う場合、署名してもらえない場合や人力確認で時間が掛かる事が多いです。()内はコメントです。

Generating a 1024 bit RSA private key
.++++++
......++++++
writing new private key to 'myserver.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:JP(国)
State or Province Name (full name) [Berkshire]:Tokyo(都道府県)
Locality Name (eg, city) [Newbury]:Shinjuku(市区町村)
Organization Name (eg, company) [My Company Ltd]:apecell(組織名)
Organizational Unit Name (eg, section) []:IT(部署名・グループ名)
Common Name (eg, your name or your server's hostname) []:apecell.com(サーバーホスト名)
Email Address []:info@apecell.com(管理メールアドレス) ※1

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:(パスワード) ※1 ※2
An optional company name []:(組織名略称) ※1

※1 - 認証局によって空白指定がされているので、申請する認証局のサイトなどで要確認。
※2 - 入力するとApache起動時にパスワードが必要。SSLを失効させたりする場合などにも使用。

上記のコマンドを実行するとCSR(server.csr)と秘密鍵(myserver.key)の2種類のファイルが作成されます。

署名付き証明書の取得

認証局のサイトで申込を行い証明書を発行してもらいます。

基本的に1ホスト名1証明書ですが用途によりサブドメイン全てをカバーしたワイルドカード証明書など、各社のサービスと値段は様々です。

特に携帯と負荷分散環境でのSSLについて詳しくは以下のサイトが参考になります。
携帯対応、負荷分散環境で最適な、SSL証明書選び：Goodpic

発行までの手順も各社に違いがあり、郵送で書面記入が必要なものからWhoisに登録されているメールアドレスに確認メールが送信されるだけというものまであり、発行まで即日〜2週間程度になります。

Apacheの設定

証明書を取得したら /etc/pki/tls/certs/server.crt に保存しておきます。

# yum -y install mod_ssl
# vi /etc/httpd/conf.d/ssl.conf

Edit >>
SSLCertificateFile /etc/pki/tls/certs/server.crt (証明書指定)
SSLCertificateKeyFile /etc/pki/tls/certs/server.key (秘密鍵指定)
<< Edit

# /etc/rc.d/init.d/httpd restart

以上が一般的に言われる「SSLを買って設定する」になります。

Web開発では複数ユーザーでディレクトリを共有管理したいケースが良くある、そういった場合の設定方法。

/var/www/html を foo, bar, apacheの3ユーザーで管理するとする、設定環境はCentOS5。

設定方法

管理用グループ(webadmin)を作成

# /usr/sbin/groupadd webadmin

管理用グループ(webadmin)に3ユーザー追加。追加時に他のグループにも所属させる場合は同時に指定する事。特にwheelユーザーからしかrootになれない状態で間違ってwheelから外してしまうと悲惨な事に。

# /usr/sbin/usermod -G webadmin foo
# /usr/sbin/usermod -G webadmin bar
# /usr/sbin/usermod -G webadmin,apache apache

対象ディレクトリをwebadminが操作できるようにグループを指定し書き込み権限を与える。

# chgrp webadmin /var/www/html
# chmod g+w /var/www/html

このままだとファイルを生成した際に所有権がそれぞれのユーザーになってしまうので、グループ権限でファイルを作成するようにする。

# chmod g+s /var/www/html

以上でグループで管理出来る環境になる。

複数設定する場合はfindでディレクトリだけ検索した結果に対して変更すると楽。

find . -type d -print | xargs chmod g+w

Ruby製のプロジェクト管理ソフトウェアRedmineのインストール手順。

Redmineの特徴

• Ruby(Rails) + (MySQL | PostgreSQL | SQLite)
• 複数プロジェクト管理
• プロジェクト毎のWiki、リポジトリ、フォーラムなど
• ユーザー認証、マイページ

など。

よくTracと比較され、Tracはプラグインで拡張しないと使いにくいと言われている、個人的にもデフォルトだとRedmineの方が圧倒的に使いやすかった。

インストール環境

• CentOS 5
• Ruby 1.8.5
• RubyGems 1.1.0
• Ruby on Rails 2.0.2
• Mongrel 1.1.4
• MySQL 5.0.22
• Redmine Rev:1319

インストール手順

パッケージ管理で必要なものをインストール（Rootで作業）

$ yum install -y ruby rdoc ruby-devel mysql-server

Ruby用パッケージ管理RubyGrmsをインストール。最新版はここから確認

$ wget wget http://rubyforge.org/frs/download.php/34638/rubygems-1.1.0.tgz
$ tar -zxvf rubygems-1.1.0.tgz
$ ruby rubygems-1.1.0/setup.rb
$ rm -Rf rubygems-1.1.0*

Ruby on Railsインストール

$ gem install rails --include-dependencies

Mongrelインストール

$ gem install mongrel

MySQLにデータベースを用意

$ mysql -u root
> create database redmine;

インストールディレクトリを準備

$ mkdir -p /home/redmine

Redmineインストール from SVN

$ cd /home/redmine
$ svn checkout http://redmine.rubyforge.org/svn/trunk/ .

DBコンフィグを編集

$ cp config/database.yml.example config/database.yml

$ vi config/database.yml

# デフォルトだとsocketの場所が違うので合わせて指定する
# [production]のにsocket項目を追加

production:
adapter: mysql
database: redmine
host: localhost
username: root
password:
socket: /var/lib/mysql/mysql.sock

メールコンフィグを編集

$ vi config/environment.rb

# メール機能を使用する場合(SMTP)
# SMTP server configurationの項目を使用するSMTPサーバーの情報に変更

# 使用しない場合
config.action_mailer.perform_deliveries = false

データベースに初期データをセットアップ

$ rake db:migrate RAILS_ENV="production"

使用言語を登録

$ rake load_default_data RAILS_ENV="production"
> ja

Mongrel起動

mongrel_rails start -d -e production

# デフォルトで3000番ポートで起動
# 変更する場合は -p 8080 の様に -p オプションで指定

確認

設置したサーバーの3000番ポート(http://yourdomain:3000/)へアクセス

Apacheとの連携

今回は必要無かったのでそのまま動かせている。

ReverseProxyやSCGIを利用した方法があるらしいのでSSL使いたいとかでApacheにした場合は別途書きます。

CentOSでSELinuxを無効化するメモ

# getenforce // 確認
Enforcing #有効

# setenforce 0 // 無効化

# getenforce // 確認
Permissive // 無効

// 起動時に無効化
# vi /etc/sysconfig/selinux
SELINUX=enforcing
↓
SELINUX=disabled