« 圧力釜 | トップページ | え? サザエさん? »

OS X ServerでのSSL設定のコツ

 思い出したようにサーバーネタです。
 
 最近初めてお金を払ってちゃんとした証明書付きのSSLを契約してその設定をMac OS X Serverでやりました。
 
 このSSL、VeriSignやGeoTrustから発行される証明書を購入しないと「信頼されたサイトではない」というメッセージが出ます。
 逆に言うとそれを気にしないのであれば自分でSSLの証明書(のようなもの)を発行すれば暗号化だけは可能となり、世間ではこれを「なんちゃって認証」とか呼び、企業内部や関係者同士のみの場合には結構よく利用されているセキュリティ手段であったりします。
 
 その「なんちゃって認証」を自分の管理しているサイトで設定した時、えらく苦労した経験があり、そのお陰で今回正規の認証をインストールする時にはそれほど苦労せずに済みました。
 
 基本的には契約した認証サービス会社が比較的懇切丁寧なヘルプページを用意してくれていますので、それを参考に作業を進めて行くのですが、Mac OS X Serverというのは内部的にはUNIX + Apache + OpenSSLでありながら若干通常のそれとはディレクトリ配置が違うと言う癖があり、大方のヘルプページにも"Mac OS X Server"なんてのはありません。

 でもって、Mac OS X Serverの管理アプリケーションである"ServerAdmin"及びそのヘルプでも今ひとつよく解らなかった経緯がありますので、簡単にコツを記しておきます。
 
 まずMac OS X ServerでSSLを設定するには左のリストから"Web"を選び、上部の"サイト"をクリックします。
 ここでポート番号443を指定したサイトを設定する必要があり、本来は別IPアドレスをバーチャルホストなどを利用して設定するのですが、実はポート番号80版の通常の"http"通信と同じドメイン名でもSSL通信が可能になります。
 
 ここでわかりにくいのが、設定したポート番号443のサイトをダブルクリックしないと詳細設定ができない事です。
 この先の個別の設定は割愛しますが、上部の"セキュリティ"をクリックするとSSLの設定画面が表れます。
 「SSL(Securuty Socket Layer)を使用する」ボタンをONにするのは当然として、下に並ぶ「証明書ファイル」「キーファイル」「CAファイル」の設定がややこしいのです。
 
 この辺りを詳しく理解するには私がお世話になったnamahageさんのサイトのここを参考にして頂くとして、要するに「CAファイル」は今回の私の正規のSSLサービスのインストールには関係がないという事です。
 
 通常、正規のSSL契約には、まず自分のサイトでプライベートキーを生成→それを基にさらに証明書(csr)ファイルを生成→それを契約した会社に送付→さらに会社から認証情報を含めた証明書ファイルが送付されて来る、という流れになります。
 
 そこでServerAdminでは、自分で生成したプライベートキーを「キーファイル」で指定し、メールで送られてきた証明書を「証明書ファイル」の鉛筆マークをクリックしてペーストするだけです。
 尚、冒頭で書いたMac OS X Server独自のディレクトリとして、各ファイル類は/etc/httpd/以下に配置する事になっています。(私は/etc/httpd/keys/以下に配置しましたが)
 
 上記、契約した認証サービス会社によっても違うかも知れませんが、悩めるMac OS X Server管理者のヒントになれば幸いです。 尚、Mac OS X Serverのバージョンは10.3.9(Panther)です。

|

« 圧力釜 | トップページ | え? サザエさん? »

パソコン・インターネット」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/108674/12874551

この記事へのトラックバック一覧です: OS X ServerでのSSL設定のコツ:

« 圧力釜 | トップページ | え? サザエさん? »