SSL証明書が設定されたWEBサーバの依頼を受けた時の確認項目 OpenSSL Apache

Apache パスフレーズ 秘密鍵

SSLが設定されているサイトを保守して欲しい、証明書を交換して欲しい

SSLが設定されているサイトでは、WEBサーバを再起動や設定をリロードする前に必ずSSLにパスフレーズが設定されているか確認しよう。秘密鍵にパスフレーズが設定されていた場合必ず顧客に確認してから作業すること。

設定されていたらどうなるの?

restartを打った後で秘密鍵のパスフレーズがわからないとWEBサーバが起動しなくなり障害になります。また、Apacheの起動順序の設定を書き換えられた場合は、サーバー本体の再起動を行った際にもSSHで繋がらなくなる可能性があります。

顧客から提供されたドキュメントのアカウント情報の中に、WEBサーバの秘密鍵のパスフレーズまで記述されている場合はほぼありません。

作業者が慎重にならないといけないところ。

秘密鍵にパスフレーズがあるかどうか確認

秘密鍵ファイルがどこに設定されているか

秘密鍵にパスフレーズが設定されているか

ENCRYPTEDとあるとパスフレーズがないとWEBサーバが起動できません。作業の前に顧客にパスフレーズの確認を行いましょう。

複数のSSLバーチャルサイトを実現したい要望

Apacheのバージョン確認

2.2.12以降かどうか

OpenSSLのバージョン確認

0.9.8f以降かどうか

1つのIPに対して複数の証明書によるバーチャルホストサイトを実現するにはSNIという機能をWEBサーバが持っている必要があります。作業前に必ず確認しましょう。

SNI(Server Name Indication)

RFC6066内で定義されている、SSL/TLSの拡張仕様の一つです。

SNIに対応することで何が出来るようになるのでしょうか。

結論としては、対応ブラウザの制約はあるものの、「1台のサーバ(IPアドレス)で複数ドメインのSSL証明書を運用できるようになる」ということになります。逆に、SNI非対応の場合だと、1台のサーバ(IPアドレス)で、SSL証明書は1ドメインしか運用できないことになります。

@see http://knowledge.sakura.ad.jp/tech/3160/

SSLが設定されているサイトでは、WEBサーバを再起動する前に必ずSSLにパスフレーズが設定されているか確認しよう。設定されていた場合は顧客に確認してから作業すること。restartを打った後でパスフレーズがわからないとWEBサーバが起動しなくなり障害になります。また、サーバーの再起動を行った際にも起動しなくなります。(2回目)

おまけ パスフレーズがない秘密鍵を作成する手順

秘密鍵作成

バックアップ

パスフレーズ解除

確認しよう。

Proc-Type: 4,ENCRYPTEDがなくなってます。パスフレーズが削除されました。

自分で構築していないお客様のサーバ環境で作業する際は、絶対にパスフレーズが設定されているか確認することを忘れずに作業を行いたいですね。

お疲れ様です。

優 ( エンジニア )

この記事を書いた人:優 ( エンジニア )

システムガーディアン爆弾処理班。アクセス負荷対策やNginxへの移行案件が多いこの頃。IBM SoftLayerやAWSなどクラウド案件も多くなってきました。


この記事に関してのお問い合わせ
御連絡・ご返信は原則2営業日以内を予定しております。
お急ぎの場合は、お手数ですが下記電話でもご対応をしております。

システムガーディアン株式会社
受付時間:平日9:00~18:00
受付担当:坪郷(つぼごう)・加藤
電話:03-6758-9166