SSL のバックアップ(No.16)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ | ログイン ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• SSL へ行く。
  • 1 (2017-04-09 (日) 20:47:03)
  • 2 (2017-07-30 (日) 21:08:59)
  • 3 (2018-01-31 (水) 15:48:56)
  • 4 (2018-02-05 (月) 14:16:53)
  • 5 (2018-02-07 (水) 16:13:14)
  • 6 (2019-10-23 (水) 10:51:13)
  • 7 (2019-11-08 (金) 09:22:32)
  • 8 (2019-11-26 (火) 19:01:45)
  • 9 (2019-11-27 (水) 09:05:56)
  • 10 (2019-12-17 (火) 09:56:04)
  • 11 (2019-12-17 (火) 15:02:07)
  • 12 (2020-02-09 (日) 23:10:08)
  • 13 (2020-02-14 (金) 18:23:11)
  • 14 (2020-02-17 (月) 13:34:33)
  • 15 (2020-03-05 (木) 17:54:58)
  • 16 (2020-03-06 (金) 09:45:19)
  • 17 (2020-03-06 (金) 16:31:30)
  • 18 (2020-03-09 (月) 10:50:04)
  • 19 (2020-03-09 (月) 17:06:56)
  • 20 (2020-05-18 (月) 18:36:24)
  • 21 (2020-05-26 (火) 15:02:10)
  • 22 (2020-06-03 (水) 09:08:56)
  • 23 (2020-09-10 (木) 09:07:31)
  • 24 (2020-10-14 (水) 14:14:11)
  • 25 (2021-07-29 (木) 12:33:20)
  • 26 (2021-08-25 (水) 16:30:09)
  • 27 (2021-12-08 (水) 14:09:36)
  • 28 (2023-03-16 (木) 14:46:04)

---

• SSL/TLSについてまとめ2018

• HTTPS入門
• 常時SSL化のする為の資料

基礎知識 †

• SSLの基本を押さえる

• SSLは共通鍵暗号方式と公開鍵暗号方式の両方を使用する
• 公開鍵暗号方式は、データ授受に用いる共通鍵のやり取りのみに用いられる
• 送信データは共通鍵にて暗号化される

OpenSSL †

• 1.0.0 が出ているが、Apacheのconfigure時にエラーが出たりトラブルに遭遇するので、まだ使わない方が良い

インストール †

# ./config shared -fPIC
# make
# make test
# make install

• 上記は64bit版Linuxの場合
• sharedはシェアードライブラリ(共有ライブラリ)を作るという指定

プログラミング †

• SSL/TLS でアクセスしてみよう (1)
• SSL/TLS でアクセスしてみよう (2)

動作検証 †

OpenSSL †

• openssl コマンドで SSL/TLS バージョンを指定した HTTPS 接続テストを実施する

wget †

証明書 †

• 無料 SSL 証明書 StartSSL を使う
• 秘密鍵とCSRの確認 ... ページの中ほど
• マルチクラウド環境におけるサーバ証明書の運用　Let's Encrypt/AWS/Azure

root証明書 †

• DigiCertのroot証明書、中間証明書　ダウンロード

• CA certificates extracted from Mozilla

• GeoTrust Root Certificates

• DST Root CA X3 - IdenTrust ... Let's Encryptを使うならこのRoot証明書を使用する

Let's Encrypt †

• Let's Encrypt 総合ポータル ... 非公式解説サイト
• Let's Encrypt ユーザーガイド

• 無料SSL証明書のLet's Encryptとは？

• Let's Encrypt の証明書をブラウザ上で簡単取得 (dns-01 / ECDSA もあるよ)

Root証明書 †

• Chain of Trust

• DST Root CA X3 - IdenTrust ... Let's Encryptを使うならこのRoot証明書を使用する

• 無料SSL認証サービス「Let’s Encrypt」のルート証明書が全ての端末で信頼されるまで5年はかかりそう

• Let's Encryptでもルート証明書を発行しているが、現段階では多くのルート証明書ストアに採用されていない
  • Let's Encryptのルート証明書「ISRG Root X1」は、モダンなブラウザやOSでは既に利用可能となっており、今後は（Iden Trustから）独自のルート証明書へ移行していくことが発表されている
  • しかし、古いOSやスマートフォンなどには、このルート証明書が搭載されていないため、現在はIden Trustというルート認証局が運用する「DST Root CA X3」というルート証明書でクロス署名された中間証明書を利用している
  • Iden TrustはISRGのスポンサーでもある

Windows †

• IISでhttpsのサイトを作成する - SSLサイトの構成 (Windows Server Tips)
• win-acme を利用してIISでLet's Encrypt を利用したSSLサイトを作成する (Windows Server Tips)
• IISでLet's Encrypt を利用してSSLサイトを構築する (letsencrypt-win-simple クライアントを利用) (Windows Server 操作方法 Tips)
• Let’s EncryptでIIS上にSSLサイトを導入する方法
• 独自ドメインでDDNS運用するWindows Server 2016 EssentialsのSSL/TLS証明書をLet’s Encryptで無料取得／自動更新するように構成した
• 制限と仕様からLet's Encrypt(ACMEv1)の話

ASP.NET Coreの場合 †

• Configuring LetsEncrypt for ASP.NET Core and IIS
• Using Let’s encrypt with ASP.NET Core

• 【DocumentRoot?】/web.config の以下の部分をコメントアウトする

  <system.webServer>
      <!--
      <handlers>
        <add name="aspNetCore" path="*" verb="*" modules="AspNetCoreModule" resourceType="Unspecified" />
      </handlers>
      -->

• 【DocumentRoot?】/.well-known/acme-challenge/web.config を配置

  <?xml version="1.0" encoding="utf-8"?>
  <configuration>
    <system.webServer>
      <httpRedirect enabled="false" />
      <validation validateIntegratedModeConfiguration="false" />
      <staticContent>
        <clear />
        <mimeMap fileExtension="." mimeType="text/json" />
        <mimeMap fileExtension=".*" mimeType="text/json" />
      </staticContent>
    </system.webServer>
    <system.web>
      <authorization>
        <allow users="*" />
      </authorization>
    </system.web>
  </configuration>

• 設定が完了したら【DocumentRoot??】/web.config のコメントアウトを解除する

エラー対応 †

• Let’s Encrypt Timeoutエラー
• Acme server reported status 400 (on renewal)?

ACME †

• Automated Certificate Management Environment - Wikipedia
• Let's Encrypt を支える ACME プロトコル

自己署名入り証明書 †

• IIS で SSL/TLS を 自己署名入り証明書 で 設定 する方法

負荷 †

• HTTPSのコスト

     

Site admin: anonymous

PukiWiki 1.5.1 © 2001-2016 PukiWiki Development Team. Powered by PHP 5.6.99-hhvm. HTML convert time: 0.018 sec.