パンドメイン SSL 証明書を構築するための完全なガイド

Wuyou Online Project Management (www.5upm.com) は、Zentao 開発チームが提供するオンライン プロジェクト管理サービスで、Zentao ソフトウェアのプロフェッショナル バージョンの機能を提供し、Subversion と git が組み込まれています。ソース コード ホスティング サービス。これにより、起業家チームや地域を越えたチームがさまざまな場所で作業し、地域を越えた協力的な管理を実現できます。

安心オンラインの実際の運用中、多くのお客様にとってセキュリティが懸念されます。私たちは、オペレーティング システム レベル、アプリケーション レベルなど、さまざまな手段を通じてこの問題を解決します。最近、Wuyou Online プロジェクト管理は https アクセス機能を開始し、Wuyou Online のセキュリティをさらに強化しました。

以下は、参考のために、作成者が安心してオンライン https アクセスを設定するプロセスを示しています。

1. https プロトコルの概要

私たちは通常、Web サイトにアクセスするときにデフォルトで http プロトコルを使用しますが、http プロトコルはすべてのコンテンツが平文でネットワーク上に送信されるため、セキュリティが保証されます。 https プロトコルはこの問題をうまく解決します。

Wikipedia (http://zh.wikipedia.org/wiki/HTTPS) によると、HTTPS の主な考え方は、安全でないネットワーク上に安全なチャネルを作成し、適切な暗号化を使用して適切な保護を提供することです。パッケージとサーバーの証明書が検証され信頼できる場合、盗聴や中間者攻撃が防止されます。

HTTPS 信頼の継承は、ブラウザにプリインストールされている認証局 (VeriSign、Microsoft など) に基づいています (「認証局が信頼するべきだと指示したものを信頼します」という意味)。したがって、Web サイトへの HTTPS 接続は、次の場合にのみ信頼できます。

ユーザーは、ブラウザが HTTPS を正しく実装し、適切な認証局がインストールされていることを信頼します。

ユーザーは、認証局が正規の Web サイトのみを信頼していると信じています。

訪問した Web サイトは有効な証明書を提供しました。これは、信頼できる認証局によって発行されたことを意味します (ほとんどのブラウザーは無効な証明書に対して警告を発行します)。

• 証明書は、訪問中の Web サイトを正しく認証します (たとえば、https://example にアクセスすると、別の組織ではなく「Example Inc.」の証明書を受け取ります)。
• インターネット上の関連ノードが信頼できるか、ユーザーがこのプロトコルの暗号化層 (TLS または SSL) が盗聴者によって破壊されないと信じているかのどちらかです。
• したがって、https プロトコル アクセスを展開するために最も重要なのは証明書です。 https証明書の分類を見てみましょう。

2. https (ssl) 証明書の分類

2.1 認証局から

証明書の発行局の観点から見ると、自己署名認証局と専門 CA 認証局の 2 つのタイプに分類できます。社内でのみ使用する場合、自己署名方式を使用して SSL 証明書を生成できるという利点は、完全に無料であり、導入が迅速かつ簡単であることです。ただし、欠点は、ブラウザーがデフォルトでこの自己署名証明書が信頼できないことを認識し、ユーザーに確認を求める警告ページがポップアップ表示されることです。たとえば、IE は次のようなページを表示します:

これは顧客にサービスを提供する上で非常に悪い方法です。したがって、専門の CA 組織が発行した証明書を購入する必要があります。

2.2 証明書の認証レベルに基づく

証明書認証のレベルに応じて、SSL 証明書は DV、OV、EV の 3 つのタイプに分類できます。

• DV は Domain Validation の略で、Web サイトのドメイン名の所有権を検証することを意味します。 CA 認証局は、証明書とドメイン名の所有権関係を確認するために、対応する電子メールをドメイン名所有者の電子メール アドレスに送信します。シンプル、高速、安価が特徴ですが、Webサイト運営者の身元を保証できないため、一般的にはデータ暗号化機能を提供する目的でのみ使用されます。
• OV は、Organization Validation の略で、この種の証明書は発行時に Web サイト上のすべてのユニットの身元を確認するため、一般的な電子商取引 Web サイトでは OV 認証が行われることがよくあります。当然、価格は高くなりますし、証明書の発行サイクルも長くなります。
• EVとはExtended Validationの略で、EV認証を通過したWebサイトにアクセスするとブラウザが緑色に表示されます。高い。 :)

2.3 証明書が適用できるドメイン名の数に基づく

SSL 証明書には、対応するドメイン名があり、該当するドメイン名の数に応じて、単一ドメイン名、マルチドメイン名、および汎ドメイン名証明書に分類されます。名前が示すように、単一ドメイン名証明書は 1 つのドメイン名にのみ適用できますが、マルチドメイン名証明書は複数のドメイン名に適用できます。パンドメイン名証明書はワイルドカード証明書とも呼ばれ、*.domain.name の形式と一致します。

Wuyou Online でお客様に提供するアクセス パスはすべて subdomin.5upm.com の形式です。たとえば、第 2 レベル ドメイン名 abc を申請した場合、アクセスする URL は次のとおりです。 Wuyou Online プロジェクト管理サービスは http://abc.5upm.com です。私たちが解決する必要があるのは、各顧客の第 2 レベルのドメイン名に安全な https アクセス サービスを提供することです。そのため、パンドメイン SSL 証明書を選択しました。

次のステップは、SSL 証明書を購入することです。 SSL 証明書の価格はメーカーごとに異なります。オンラインで検索すると、さまざまなメーカーの SSL 証明書を専門に扱う Web サイトが見つかりました。価格は、cheapssls.com の Web サイトで購入したものです。証明書をアクティブ化するプロセス全体。

3. 購入証明書

3.1 登録ユーザー

最初のステップは、cheapssls.com Web サイトでユーザーとして登録することです。 cheapssls.com にアクセスし、ページの右上隅にある [サインイン] リンクを選択し、プロンプトに従ってアカウントを登録します。このプロセスは繰り返されません。

3.2 メーカーを選択します

アカウントを登録した後、購入する証明書とメーカーを選択できます。購入したいのはユニバーサル ドメイン名証明書であるため、以下に示すようにワイルドカード SSL 証明書を選択します:

RapidSSl によって提供される証明書を選択しました:

3.3 注文する

証明書の種類とメーカーを決定したら、注文できます:

一般に、購入年数が長くなるほど、割引率は低くなります。私が購入したものの価格は98.99ドルと比較的お手頃です。

3.4 支払い

海外サイトでは決済に米ドルが使用されているため、国内ユーザーは購入時にクレジットカードまたはPaypalで支払うことができます。クレジット カードには Mastcard または Visa のロゴが付いている必要があります。この種類のクレジット カードは外貨決済をサポートしています。

著者は支払いに Paypal を使用することを選択しました:

その後、ページの指示に従って Paypal Web サイトでお支払いください。支払いが成功したら、次のステップは証明書をアクティブ化することです。

4. アクティベーション証明書

4.1 CSR ファイルの生成

証明書をアクティブ化する前に、証明書がインストールされているサーバー上で csr ファイルを生成する必要があります。基本的な手順とコマンドは次のとおりです。 >

4.1.1 server.key ファイルを生成します。

まず openssl コマンドを呼び出して、server.key ファイルを生成します。

z@colinux:/tmp$ openssl genrsa -des3 -out server.key 2048

RSA 秘密キー、2048 ビット長のモジュラスを生成しています

................................................ ...................................................+++

..+++

e は 65537 (0x10001)

server.key のパスフレーズを入力してください:

確認中 - server.key のパスフレーズを入力してください:

暗号化強度は 2048 である必要があり、コマンドではキー ファイルを保護するためのパスワードの入力も求められることに注意してください。

4.1.2 server.key ファイルに基づいて、server.csr ファイルを生成します

server.key ファイルを取得したら、server.csr ファイルを生成できます。

z@colinux:/tmp$ openssl req -new -key server.key -out server.csr

server.key のパスフレーズを入力してください:

組み込まれる情報の入力を求められます

を証明書リクエストに追加します。

これから入力しようとしているのは、いわゆる識別名または DN です。

かなりの数のフィールドがありますが、一部を空白のままにしても問題ありません

一部のフィールドには、デフォルト値

があります。

「.」を入力すると、フィールドは空白のままになります。

-----

国名 (2 文字コード) [AU]:CN

州名または省名 (フルネーム) [一部の州]:山東省

地域名 (例: city) []:青島

組織名 (例: 会社) [Internet Widgits Pty Ltd]:QingDaoEasySoft

組織単位名（セクションなど）[]:Dev

一般名 (例:あなたの名前) []:*.5upm.com

メールアドレス []:chunsheng@cnezsoft.com

 

次の「追加」属性を入力してください

証明書リクエストと一緒に送信されます

チャレンジパスワード[]:

オプションの会社名 []:

 

このコマンド里面に注意が必要な場所：

• 国名、塗り写CN、中国を代表します。
• 州名または県名、省音を記入するだけで十分です。
• 地域名、記入場所城市の汉語拼音。
• 組織名、記入公司の汉語音は即可です。
• 組織単位名、記入された場所の部门の音声。
• 一般名。これは最も重要であり、関連するドメイン名、ドメイン名を *.doomain.com の形式で必ず書き込む必要があります。
• メールアドレス、連絡先ボックスに記入してください。

 

上のコマンドにより、server.csr ファイルを生成できます。次の手順は、このファイルを使用してアクティブ化許可を申請することです。

4.2 申请激活

また、安いSSL网站、登录系统、その後访问私のssl、选择购买的证书、激活：

申請フォームが表示されます:

このページでは、サーバーの種類を選択するよう求められます。Apache + openssl を選択します。次に、生成されたserver.keyの内容を下のテキストボックスにコピーし、「次へ」をクリックしてドメイン名の所有者の身元を確認します:

いくつかの方法があります。たとえば、作成者が 5upm.com を使用している場合は、@5upm.net を使用する方法です。確認用の全員のメールアドレス。

認証方法を選択すると、アクティベーションが成功したことを示すメッセージが表示されます。次に、このアプリケーションを確認するために入力した電子メール アドレスにログインする必要があります。

これは受信したメールの内容です。内部のリンクをクリックして確認してください:

「承認する」を選択します:

その後、公式 SSL 証明書と中間 CA ファイルを含む電子メールが届きます。

これはSSL証明書です。

これは中間 CA ファイルです。

以下は、Apache が証明書を使用するように設定する方法です。

5. 証明書を構成します

Apache 証明書を設定する前に、SSL モジュールを開いてポート 443 をリッスンするように Apache を設定する必要があります。ここでは詳細には触れませんが、インターネット上には参考となる情報がたくさんあります。電子メールで受け取った ssl ファイルと ca ファイルを、それぞれ、server.crt とserver.pem として保存します。以前に生成したキー ファイルと csr ファイルを追加すると、server.key、server.csr、server.crt、server.pem の合計 4 つのファイルがあり、これら 4 つのファイルを /etc/apache/ssl などのディレクトリに保存します。 / に続けて、Apache 仮想マシンを構成します:

<仮想ホスト *:443>

SSLE エンジンがオン

SSLCertificateFile /etc/apache2/ssl/server.crt

SSLCertificateKeyFile /etc/apache2/ssl/server.key

SSLCertificateChainFile /etc/apache2/ssl/server.pem

ServerAlias *.5upm.com

ServerAlias *.5upm.cn

DocumentRoot /var/www

<ディレクトリ />

オプション FollowSymLinks

すべての上書きを許可

設定が完了したら、Apache を再起動します。すべてがうまくいけば、https 経由でアクセスできるようになります。以下は、安心のオンライン アクセスです。アドレス バーは黄色の暗号化バーに変わりました (ブラウザーによって表示が異なります)。