VirtualHostMonster Setup Sample　その２　

2002-05-23 - hoihoi-p

SSL公開鍵認証を使用し、安全に外部からZope-manageの更新を行う方法。

• 「Apache & mod_ssl & VHM」で、SSL公開鍵認証を使用したApache連携の方法です。　これにより、外部から安全にZopeサイトの更新が可能になります。
  設定するにあたって、CACAnet福岡の宮川祥子氏が書かれた、OpenSSLを使用した認証局構築の文献を参考にいたしました。特に認証局関連の事項は同氏の文献の抜粋が元になっておりますことを、あらかじめお断りしておきます。
  同氏、及び参考文献著者に心より敬意を表します。 尚、私の無知による大ウソ・勘違い等が含まれていると思いますので、下部のコメント欄にフォローいただけるとうれしく思います。

• 参考文献：http://cvs.cacanet.org/doc/asciinp1/1.html
  　　　　：http://japache.infoscience.co.jp/japanese_1_3/manual/
  　　　　：http://www.apache-ssl.jp/
  　　　　：HowToSetupSiteAccessEnhanced
  
  
  

1. 設定目標
   • Zope-root/manageに作成した任意のフォルダを、Apache上の任意のディレクトリにマッピングする。
   • 外部からのコンテンツの閲覧は80番ポートを使用し、manageには入れないこと。また、8080番ポートはパケットフィルタ等で塞いでしまえること。
   • https://example.com/manage　で、Zope-root/manageに入れること。
   • 外部からの更新には同一ドメインの443番ポートを使用し、自前で発行した公開鍵認証以外では入れないこと。
2. 使用環境
   • Vine-seed(2.5 + α)
     • Apache-1.3.24-0vl1
     • mod_ssl-2.8.8-0vl1
     • openssl-0.9.6b-1vl4

CAの準備

• 「https://」でリクエストされると、公開鍵と呼ばれる特殊な鍵を使って通信が暗号化され安全な更新ができるようになります。公開鍵はCA（認証局）の署名を受けて、その鍵が正当なものであることが証明されなければなりません。また、CA自身も上位のCAにより署名を受けることでCAの正当性が証明され、階層構造が作られています。商用のまっとうな認証局としては、日本ベリサイン（ http://www.versign.co.jp/）等があり、本来はこういった組織による鍵を使用するべきですが、以下の理由により、自前で発行した鍵を使用してSSL暗号化することにします。
  （これを、俗に「偽認証局をでっち上げる。」と言います。　^^;）
  1. 使用するサーバー鍵、ユーザー鍵の発行料が高価であり、自宅で遊びに使用するレベルでは無い。
  2. ページ閲覧者に、接続されたサーバーの正当性を保証するのでは無く、正当なサーバーの更新者であることを保証するのが目的のため。
  3. 自前で発行した鍵以外では入れなくするため、事実上上位認証局が必要ない。
• SSLを使用して自前で鍵を発行するために、openssl、mod_sslをインストールします。　Vine Linuxならば、rootになって以下のコマンドを入力してみてください。
  Vine2.5等で標準的なインストールをされた場合は、既に入っていると思います。
  • # apt-get install　openssl　mod_ssl
• 鍵、及びその証明書を発行するために、/usr/share/ssl/openssl.cnfに、適時変更を行います。

  • ［ ca ］
    default_ca　　　　= CA_default　　　　　　　# 標準で使用するCAセクション名です。
    
    
    ［ CA_default ］
    dir　　　　　　　　= ./demoCA　　　　　　　　# CA情報が保管されるディレクトリ名になります。好きなように書き換えてください。
    
    
    [ req_distinguished_name ]　　　　　　　　#　ここ以下が,鍵作成時のデフォルトになります。何回も同じ入力を要求されますので、自分に合わせて書き換えます。
    countryName                     = Country Name (2 letter code)
    countryName_default             = JP ←この値を変えるとデフォルト値が変わる
    countryName_min                 = 2
    countryName_max                 = 2
    
    
    stateOrProvinceName             = State or Province Name (full name)
    stateOrProvinceName_default　　　= fukuoka
    
    
    localityName　　　　　　　　　　　 = Locality Name (eg, city)
    localityName_default            = fukuoka
    
    
    0.organizationName              = Organization Name (eg, company)
    0.organizationName_default      = hoihoi-p site
    
    
    # we can do this but it is not needed normally :-)
    #1.organizationName             = Second Organization Name (eg, company)
    #1.organizationName_default     = World Wide Web Pty Ltd
    
    
    organizationalUnitName          = Organizational Unit Name (eg, section)
    organizationalUnitName_default  = member
    
    
    commonName                      = Common Name (eg, your name or your server\'s hostname)
    commonName_max                  = 64
    
    
    emailAddress                    = Email Address
    emailAddress_max                = 40
    
    
    # This is OK for an SSL server.  　　　　　　　# 鍵を発行する対象を選択します。
    nsCertType                      = server   　# サーバー鍵用
    # nsCertType = client, email                 # クライアント鍵用
    

    
    
• /usr/share/ssl/misc/CA　が、鍵作成用スクリプトです。dirを書き換えたら、
  
  CATOP=./demoCA
  
  も書き換えておきます。
  /usr/share/ssl/misc/　に、パスを通しておくと後が楽です。
  • CAスクリプトには、シェルスクリプト版と、Perl版があります。
    Vine以外、たとえばkondaraですと、/var/ssl/misc/CA.pl と /var/ssl/misc/CA.sh　が、あります。
    CA.plでは、-pkcs12オプションが使えたりします。
    Vineでは、openssl-perlという関連の別パッケージの中にPerl版が有ります。
    以下は、シェルスクリプト版で行いました。

鍵の生成

• 必要な鍵は以下の３種です。
  1. CAの鍵
  2. サーバの鍵
  3. クライアントのブラウザ用鍵
• 鍵を実際に作っていきますが、ここで注意しなければならないのは、今自分がどういう立場にあるかということです。入力するパスフレーズに注意してください。
  
  

  作業内容	パスフレーズ	立場
  CAの鍵ペア生成	CA	CA管理者
  CAの公開鍵証明書の発行	CA	CA管理者
  ユーザーの鍵ペア生成	ユーザー	ユーザー （今回の場合CA管理者が代行したことになります。）
  ユーザーの公開鍵証明書の発行	CA	CA管理者

  
  

1. CAの鍵ペアの作成
   • # CA -newca
     　CA certificate filename (or enter to create)
     • ここで、リターンを入力するとopenssl.cnfのdir行で指定したパス以下にCAのディレクトリとCAの鍵ペアが生成されます。
     • このとき入力するのはCAのパスフレーズです。
2. クライアント証明書リクエストと、クライアント鍵ペアの作成
   • openssl.cnfのnsCertTypeを、nsCertType = client, emailに変更する。
   • # CA -newreq
     • ここで入力するパスフレーズは、ユーザーのものです。
     • Email Address以降の質問は、オプションですので、だだリターンでいいです。
       

       Email Address ［］:hoihoi-p@example.com
       
       
       Please enter the following extra attributes
       to be sent with your certificate request
       A challenge password ［］:
       An optional company name ［］:
       Request (and private key) is in newreq.pem
       

3. クライアント鍵へのCAの署名
   • # CA -sign
     • ここで入力するのはCAのパスフレーズです。
4. 以上で、
   • newreq.pem（クライアントの秘密鍵）
   • newcert.pem（クライアントの公開鍵証明書）
   • cacert.pem（CAの証明書）
     
     ができます。
5. しかし、この鍵はブラウザで読めないため、pkcs12形式に変換します。
   • # openssl pkcs12 -export -inkey newreq.pem -in newcert.pem -certfile cacert.pem -name "hoihoi-p" -out newcert.pkcs12
   • この操作は、パッケージ次第ではCAスクリプトからできます。
     （CA.plには、-pkcs12オプションが有るようです。）
6. 以上で、newcert.pkcs12（ブラウザ用鍵）ができます。　
   • 作られた鍵は、新しく作った鍵に上書きされてしまうので、リネームしておきます。
7. ブラウザ用鍵をブラウザに組み込みます。
   • Mozillaの場合は、「設定メニュー」の「プライバシーとセキュリティー」の「証明書」「証明書マネージャ」で、「元に戻す」ボタンを押すと読み込めます。
   • IE5.5の場合は、「ツールメニュー」→「インターネットオプション」→「証明書」で、インポートボタンを押すと読み込めます。
8. サーバ鍵の作成
   • openssl.cnfのnsCertTypeをserverに設定し、クライアント証明書と同様の手順で発行を行ないます。
9. Apacheへの鍵のセット
   • Apacheに必要なのは、
     • server-req.pem（サーバ用秘密鍵）
     • server-cert.pem（サーバ用証明書）
     • cacert.pem（CAの証明書）
       
       の、三つです。これを、下記のhttpd.confを参考に所定の場所にコピーしておきます。（ファイル名、フォルダは任意で結構です。）

VirtualHostMonster設定

• Domain	Path
  example.com	/zope/

• これは通常と変わりません。　SSL用の設定も特に必要では有りません。

httpd.conf（抜粋）

• RewriteEngine　On
  

  RewriteMap　　lowercase　　int:tolower
  RewriteRule ^/zope/(.*)　http://localhost:8080/VirtualHostBase/http/example.com:80/zope/VirtualHostRoot/_vh_zope/$1 [L,P]
  
  
  ＜LocationMatch "^/zope/(.)manage(.)"＞
  　　SSLRequireSSL
  　　AuthType　Basic
  　　AuthName　UserCheck
  　　AuthUserFile　/etc/httpd/conf/passwd
  　　require　valid-user
  ＜LocationMatch＞
  
  
  ＜IfDefine HAVE_SSL＞
  　　Listen　443
  　　SSLSessionCache　shm:/var/cache/ssl_gcache_data(524288)
  
  
  　＜VirtualHost　_default_:443＞
  　　　DocumentRoot　/home/httpd/html
  　　　SSLEngine　on
  
  　　　SSLCipherSuite　ALL:！ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
  　　　SSLCertificateFile　/etc/httpd/conf/ssl.crt/server-cert.pem
  　　　SSLCertificateKeyFile　/etc/httpd/conf/ssl.key/server-req.pem
  　　　SSLCACertificateFile　/etc/httpd/conf/ssl.crt/cacert.pem
  　　　SSLVerifyClient　2
  　　　SSLVerifyDepth　1
  
  
  　　＜Files　~　"\.(cgi|shtml)$"＞
  　　　SSLOptions　+StdEnvVars
  　　＜/Files＞
  
  
  　　　SetEnvIf　User-Agent　".MSIE."　nokeepalive　ssl-unclean-shutdown
  　　　CustomLog　/var/log/httpd/ssl_request_log　\
  　　　　　　　　"%t　%h　%{SSL_PROTOCOL}x　%{SSL_CIPHER}x　\"%r\"　%b"
  
  
  　　＜Directory /＞
  　　　　AllowOverride　None
  　　　　Options　+ExecCGI
  　　　　Order　allow,deny
  　　　　Allow　from　all
  　　　　SSLRequireSSL
  　　　　AuthType　Basic
  　　　　AuthName　UserCheck
  　　　　AuthUserFile　/etc/httpd/conf/passwd
  　　　＜Limit　GET　POST＞
  　　　　　require　valid-user
  　　　＜/Limit＞
  　　＜/Directory＞
  
  
  　　　RewriteMap　lowercase　　int:tolower
  ho　　　RewriteRule　/(.*)$　http://localhost:8080/VirtualHostBase/https/example.com:443/VirtualHostRoot/$1　[P,L]
  　＜/VirtualHost＞
  
  
  ＜/IfDefine＞
  

注意点（失敗談）

• Apache-SSLと、mod_sslは別物です。
  一部の命令の実装に違いがあり、mod_sslではSSLFakeBasicAuth命令は使用できません。そのため、/etc/httpd/conf/passwdは、htpasswdで作った、通常のpasswdファイルを使っており、クライアント識別子を使用したBasic認証はうまくいってません。
  うまくいってる方、フォロー頂けませんでしょうか。　m(__)m

コメント

• 2002/05/22 sio 独自認証局って、'偽' ではないとおもうんですが ..
• 2002-05-22 hoihoi-p コメントありがとうございます。
  上位認証局の証明を受けていないので、その正当性が証明出来ないので、'偽'では無いかと思った次第です。クライアント識別子（DN：Distinguished Name）のpasswdへの組み込み等、書き足りないところもいっぱい有りますので、ご指摘願えれば大変うれしく思います。
  • 2002-05-22 hoihoi-p 書き足りないというと聞こえがよすぎますね。理解できていないというべきでした。　^^;
• 2005/07/26 「ふが」の中の人なんですが、こちらでhoge．fuga．jpを書かれてるとばっちりでうちのメールサーバにhoihoi-p@でspamがじゃんじゃか飛んできてます。実在するドメインなんでこれ以上広まらないうちに手を入れてほしいんですが...
• 2005/07/27 cheeseshop 応急処置したけど効果あるかどうか‥‥ちゃんとexample.jpに変えたほうがいいかな。
• 2007/04/15 admin: example.com に変更しました。

Last edited Sun, 15 Apr 2007 22:14:41 +0900

Edit this page