プライベート認証局の証明書、サーバー証明書、クライアント証明書の作成方法について
先日の投稿で、 openssl s_client コマンドを使って軽く通信試験をしてみました。 実際にやってみた方はお気づきかもしれませんが、あのコマンドだと以下のようなエラーがでます。 $ openssl s_client -connect localhost:4433 CONNECTED(00000003) depth=0 (subject) verify error:num=20:unable to get local issuer certificate verify return:1 depth=0 (subject) verify error:num=27:certificate not trusted verify return:1 depth=0 (subject) verify error:num=21:unable to verify the first certifi
用途にもよりますが、通信の暗号化を目的とするのであれば、ドメイン認証型で十分です。例えば HTTP/2 でWEBサーバを動かすには、事実上SSL/TLSが必須になりますので、そういった用途でも普及しそうですね。 Let's Encrypt の証明書取得方法Let's Encrypt クライアントソフト(コマンド)をインストールして、証明書取得用のコマンドを打つだけです。 冒頭にも書きましたが、Let's Encrypt での証明書取得の手続きは、他の認証局のものと大きく異なります。Let's Encrypt のサイトに行って「CSRを送信する申請フォームはどこだろう?」と探したのは、私だけではないはずです(^^;) 参考までに、一般的なドメイン認証型の証明書発行の流れは、以下の通りです。 (1) 秘密鍵を作成(2) 秘密鍵を元に、CSR(証明書を発行するための署名要求)を生成(3) 認証局
ACM とは AWSがELBかCloudFrontで使用する場合に限り使用できる無償のSSL証明書発行サービスです。 SSL証明書といえば賞味期限切れを大手サイトもやらかすなどトラブルが多いですが、なんとフルマネージドで自動更新までやってくれます。一度設定すればメンテナンス不要なのは嬉しいですね。 無償なのでいくつ作っても良いですが、ワイルドカード証明書も作成できます。 1つの証明書に複数のドメインを格納することも可能です。 みんな大好きAWSCLIで使ってみましょう。 2016/5/17追記: 東京リージョン(ap-northeast-1)に対応しました! 以前はバージニアだけでしたが、今回同時にカリフォルニア・オレゴン・アイルランド・フランクフルト・ソウル・シンガポール・シドニー・サンパウロと、大幅に対応リージョンが増えました。 前提条件 デフォルトVPCが存在すること。無くても動きま
AWS Certificate Manager (ACM)がリリースされました! New – AWS Certificate Manager – Deploy SSL/TLS-Based Apps on AWS 2016年1月現在、AWSのELBとCloudFrontのみでの利用かつ、リージョンもus-east-1だけではありますが、無料で利用できるSSL証明書(ワイルドカードも対応可能)で更新も自動ということでかなり良さげなサービスです! で早速使ってみようと思ったら、盛大にはまってしまったのでメモ。 結論 ACMでの 申請前 に必ず申請ドメインでのメール受信(送信されるメールアドレスは後述)が出来ることを確認してから申請を行いましょう!!!!! ACMではSSL申請がされたドメインを本当にユーザーが持っているか確認するために メール を送るのですが、自分の場合、最初にメール受信設定をし
ドメイン取得からS3での静的サイト及びHTTPS化(CloudFront,ACS)までやってみた時の作業メモ。 やること ドメインの登録を行う(今回、お名前.comでやったみたが、Route53の登録でもOK) 本例では example.com というドメインを購入したと想定(この作業メモを書いた時は別のドメインで検証しています) S3のStaticWebsiteHostingとCloudFronとACMを利用して、 https://blog.example.com でアクセス出来るようにする ドメインを探す 自分の利用したいドメインを探して購入します。 せっかくなのでRoute53で購入してみたかったのですが、欲しいのが丁度なかったのでお名前.comで購入しました。 登録が完了すれば登録したメールアドレスに登録完了通知が来ているかと思います。 Route53にドメインを登録する 次に取得
We have an SSL Certificate for our website from Network Solutions. After upgrading Apache/OpenSSL to version 2.4.9, I now get the following warning when starting HTTPD:AH02559: The bundle_ssl.sh #!/bin/sh # # Convert PEM Certificate to ca-bundle.crt format # test ! $1 && printf "Usage: `basename $0` certificate" && exit 1 # Friendly Name and Underline Friendly Name with equal signs openssl x509 -i
Apacheに限らないが、暗号化方式としてRC4暗号が最優先に設定されていることがままある。 これは必ずしもいいとは言えない・・・ので、その理由をまとめてみた。 そもそもRC4がよく設定されているのには理由がある。 過去BEASTという攻撃方法が発見されCBC暗号(Cipher Block Chaining:一定の長さごとに暗号化を行う方式)は全部危ない!?という感じになった。そこで登場したのがストリーム暗号の代表格RC4であり、これに設定すればOK、という流れが今にも至っているのだ。 BEAST攻撃について ただ当時とは状況が変わり、RC4を設定するのが最適とは言えなくなってきた。 理由1 RC4は非推奨となった まず有権者に訴えたいのは、現在RC4は脆弱性が発見され、「電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)」にて推奨されない運用監視暗号の対象に
HttpSocket¶ class HttpSocket(mixed $config = array())¶ CakePHP には、リクエストを簡単に行える HttpSocket クラスがあります。 それは、外部のウェブサービスやリモート API との通信に役に立ちます。 リクエストの作成¶ 異なる HTTP メソッドの多くの種類の HTTP リクエストを作成するために HttpSocket が使えます。 HttpSocket::get($uri, $query, $request)¶ $query パラメータは、クエリー文字列もしくは、キーとあたいの配列のどちらかです。 get メソッドは、シンプルな HTTP の GET リクエストの結果を返します。 App::uses('HttpSocket', 'Network/Http'); $HttpSocket = new HttpSocke
問題 CakePHP2でシステムを普通に構築して、普通にSMTPでメール送信機能を実装して、リリースしたらメールが飛ばない!と連絡が。。。 ログを見ると Error: [SocketException] stream_socket_client(): SSL operati on failed with code 1. OpenSSL Error messages: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify faile d stream_socket_client(): Failed to enable crypto stream_socket_client(): unable to connect to ssl://○○.jp:465 (Unknown error) なんかSSL周
「-----BEGIN CERTIFICATE -----」から「-----END CERTIFICATE-----」まで 2 ボタンをクリックして解析
AWSのロードバランサであるELBではSSLの暗号化通信をクライアント<->ELB間で完結させるためのSSL Termination機能が備えられています。ELBにSSL証明書を配置することで、ELB配下のEC2にサーバ証明書が不要になりました。このメリットは、暗号化処理の負荷をWEBサーバからELBにオフロードすることができる点と、証明書の更新作業時に各サーバにサーバ証明書を配布して回る手間を軽減することが出来る点だと考えています。 とはいえ、証明書の更新時期が来たらELBに設置している証明書を更新する必要があります。通常のFQDN形式のサーバ証明書なら紐づくELBは1台だと思いますが、ワイルドカード証明書を利用している場合には更新対象のELBが数十台にもなることもあります。 この更新作業を繰り返し手動でManagement Consoleから実行するのは筋が悪いので、AWS CLIのみ
こんにちは!新人のKです! 本日はELBに設定したSSL証明書の削除方法をご紹介します。 ELBへのSSL証明書設定 ELBへのSSL証明書登録作業はAWSマネージメントコンソールから行なう事が出来ますが、削除はコマンドラインからの操作が必要となります。 SSLの期限が切れて不要になったものは、コマンドラインから削除を行ないましょう。 ※SSL証明書のELBへの設定は、デフォルトだと1アカウントにつき10個までしか登録できません。 (10個以上SSL証明書を登録したい場合はAWSへ申請する必要があります) 不要なSSL証明書を放置していると、そのうち10個以上ELBへ登録していた、なんて事になるかもしれません。 ちなみに10個以上登録しようとすると、下記のようなMSGが出力されます。 AWS CLIインストール 1.それでは、ELBに登録されたSSL証明書の削除を行なっていきましょう。 ま
LDAPSでの通信にははまりましたが、20時間の闘いにて、通信の確立に成功しましたので、手順を書いておきます。 CA証明局の構築とCA証明書の作成 LDAPS通信ごときに、公的機関の証明は不要だと思います。 暗号化さえされればいいですからね。 と言う訳で、まずはCentOS6でのCA構築手順です。 言うまでもなく、OpenSSLが事前にインストールされている必要があります。 また、CA局は、LDAPサーバでなくても構いません。 後で説明するLDAPサーバ側で作成したサーバ証明書に対して署名(CA局が認めた証明書だよってサインする事)を行う為に必要なサーバとなります。 /etc/pki/tls/mics/CA -newca Generating a 2048 bit RSA private key ........+++ ...................................
Let's Encrypt 最新情報 ・ワイルドカード証明書と ACME v2 へ対応が完了しました(2018年03月15日 更新) ※技術的な詳細については ACME v2 とワイルドカード証明書の技術情報 をご覧ください。 ※ワイルドカード証明書の取得には、ACME v2 プロトコルに対応したクライアントと DNS による認証が必要です。証明書の取得・更新の際に、DNS の「TXT レコード」にワンタイムトークンを登録する必要があります。 ※サブジェクトの代替名(SAN : Subject Alternative Name)を使用した 複数のドメイン名・サブドメイン名に対して有効な証明書 も引き続き取得可能です。 Let's Encrypt について Let's Encrypt は、認証局(CA)として「SSL/TLSサーバ証明書」を無料で発行するとともに、証明書の発行・インストール・
This webpage was generated by the domain owner using Sedo Domain Parking. Disclaimer: Sedo maintains no relationship with third party advertisers. Reference to any specific service or trade mark is not controlled by Sedo nor does it constitute or imply its association, endorsement or recommendation.
数年前、Webは全体的に暗号化されていませんでした。HTTPSはWebページの最も重要な部分だけのために確保されていました。暗号化が必要なのは大切なユーザデータだけで、Webページの公開される部分は暗号化せずに送ってもいいということで意見が一致していました。 しかし、 今は 状況 が 違います 。現在では、どんなWebトラフィックでも暗号化されていないのは良くないということが分かっているので、Webサイトを運営する誰もがコンテンツに関係なく強固なHTTPSを設定しなければなりません。 お恥ずかしい話ですが、私自身のWebサイトは2年近くも全くHTTPSをサポートしていませんでした ^(1) 。 Eric Mill の 今すぐ無料でHTTPSに切り替えよう という素晴らしい記事が最終的に私に喝を入れてくれました。私は休暇中、HTTPSをセットアップして Qualys SSL Report で
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く