さくらVPSにジオトラスト(RapidSSL )のSSLを導入した

さくらのレンタルサーバ ビジネスプロ

はっ!!
初歩を忘れないように手順を書き残す、、、

ここから先の作業はroot権でやるのが無難だと思う
(;´∀`) (;´Д`) (;・∀・) (;゚Д゚) (;^ω^)

【まずは、導入するであろうサーバーでCSRを作成する】
①opensslで乱数を生成
openssl md5 * > rand.dat

こんななのができる
——————–
-rw-rw-r– 1 hogege hogege 48 6月 8 09:01 rand.dat
——————–

※Opensslをインストールしていな場合はコマンドで確認してね。(VPSはデフォルトで入ってると思います)
——————–
[hogege@hogehoge.com home]$ yum list installed | grep openssh
openssh.x86_64 4.3p2-72.el5_6.3 installed
openssh-clients.x86_64 4.3p2-72.el5_6.3 installed
openssh-server.x86_64 4.3p2-72.el5_6.3 installed

——————–
※インストールされていなかったらインストールしましょう。
——————–
[hogege@hogehoge.com home]$ yum install openssl
——————–

②生成した乱数から秘密Keyを作成
このときチャレンジパスワードが聞かれるが、特に入れても入れなくてもどっちでも問題ないけど、入れなくていいと思う。
openssl genrsa -rand rand.dat -des3 1024 > 2011pri.pem

↓こんな感じ
——————————
[hogege@hogehoge.com sslsample]$ openssl genrsa -rand rand.dat -des3 2048 > 2011pri.pem
48 semi-random bytes loaded
Generating RSA private key, 2048 bit long modulus
………………………..++++++
……++++++
e is 65537 (0x10001)
Enter pass phrase: ←パスワード(忘れたら詰む)
Verifying – Enter pass phrase:   ←パスワード(忘れたら詰む)
[hogege@hogehoge.com sslsample]$ ll
合計 8
-rw-rw-r– 1 hogege hogege 963 6月 8 09:04 2011pri.pem  ←元祖秘密鍵(なくしたら詰む!)

——————————
※ジオトラストは2048bitしか対応していないので、今回は2048bitで作りましたが、まだモバイルは2048bitに対応していないケータイも多少あるので、どこかのタイミングで1024bitに切り替えたいかも。。。

③秘密鍵から公開鍵を作成
このときチャレンジパスワードを設定していると入力を求められる。
openssl req -new -key 2011pri.pem -out 2011csr.pem

↓こんな感じ
——————————
[hogege@hogehoge.com sslsample]$ openssl req -new -key 2011pri.pem -out 2011csr.pem
Enter pass phrase for 2011pri.pem:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
—–
Country Name (2 letter code) [GB]:JP
※日本なんでJP

State or Province Name (full name) [Berkshire]:Tokyo
※東京行きたいのでTokyo

Locality Name (eg, city) [Newbury]:Shinbashi
※新橋をよく知らないのでShinbashi

Organization Name (eg, company) [My Company Ltd]:hogehoge-yatta
※会社名を適当に

Organizational Unit Name (eg, section) []:hoge system
※システム名を適当に

Common Name (eg, your name or your server’s hostname) []:hogehoge.com
※SSLを設定したいサイトのドメインを指定

Email Address []:
※未入力でおk

Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []:
※未入力でおk

An optional company name []:
※未入力でおk

——————————

④秘密鍵からパスワードを外す。
これをしないとサーバーの手動自動での再起動できなくなったりします。
openssl rsa -in 2011pri.pem -out 2011key.pem

こんな感じ↓
——————————
[hogege@hogehoge.com sslsample]$ openssl rsa -in 2011pri.pem -out 2011key.pem
Enter pass phrase for 2011pri.pem: ←秘密鍵作成時のパスワードを入力
writing RSA key
[hogege@hogehoge.com sslsample]$ ll
合計 16
-rw-rw-r– 1 hogege hogege 672 6月 8 09:14 2011csr.pem
-rw-rw-r– 1 hogege hogege 887 6月 8 09:37 2011key.pem
-rw-rw-r– 1 hogege hogege 963 6月 8 09:12 2011pri.pem
-rw-rw-r– 1 hogege hogege 48 6月 8 09:01 rand.dat
[hogege@hogehoge.com sslsample]$

——————————

さてここからがジオトラスト関連です。
申し込みをする。
RapidSSL を選択し、約3000円の出費=3

このとき上でつくった公開鍵が必要になるのでそれつかってください。
なんでかというと、それでジオトラストが公開鍵を作り直します。
※たぶんね。

ジオトラストから中間証明書とサーバー証明が届く。
※中間証明書が届かない場合は、ジオトラストのサイトに置いてあるのもらいに行こう。
もし見つからないという悲しい事件が発生した時のためにリンク
ジオトラスト中間証明書ダウンロード
————————————————————————–
/etc/pki/tls/certs/2011crt.pem ←サーバ証明書ファイル(公開鍵)
/etc/pki/tls/certs/2011ca.pem ←中間CA証明書ファイル
/etc/pki/tls/private/2011key.pem ←秘密鍵ファイル

—————————————————————————
という具合に配置して見る。

ssl.confを修正する。
さくらだとこのあたり?
※/etc/httpd/conf.d/ssl.conf
sudo vim /etc/httpd/conf.d/ssl.conf
——————
SSLCertificateFile /etc/pki/tls/certs/2011crt.pem
SSLCertificateKeyFile /etc/pki/tls/private/2011key.pem
SSLCACertificateFile /etc/pki/tls/certs/2011ca.pem

——————
という具合に設定を【変更】してみる。

アパッチ再起動
※Linux および System V 系
/etc/rc.d/init.d/httpd restart

これで無事再起動できれば、いよいよhttpsでアクセスしてください。
証明書が無事インストールされていれば問題なく開けると思います。
※携帯とか結構うつらない事あるんで、そういう場合はいい証明書買いましょう。(ベリサインとかw)

よかれと思ったらtwitterにでも書き込んでくださいwww
何かあればコメントくださぁい

+ ( ・ω・ )*。+゚

※追記
AUで使えないケースが多発したので、ベリサインを導入しなおしました。
ベリサインもめんどくさい書類提出以外は作り方一緒でーす。
しかし、オペレーターの機械的なしゃべりかたが怖かったなぁ・・・。

ncftpでサーバー間で、フォルダ単位でGETしてみる。

ncftpを使って、某Aサーバから某Bサーバのファイルを取得する。

しかもncftpはフォルダを指定できる。
なので今回はフォルダを指定して、直下すべて取得する方法を紹介。

【ncftp説明】

//ここからDLする。(最新版推奨!)
http://www.ncftp.com/download/

//使うサーバにアップロードして、コンソールからコマンドで解凍
tar xvf ncftp-3.2.5-src.tar.bz2

//インストール
./configure
make
make install
インストールは管理ユーザーが推奨ってかじゃないと不便かも?w
/usr/local/binの下にインストールされていれば完了。
————————————————-
-rwxr-xr-x 1 root root 275040 Feb 21 18:52 ncftp
-rwxr-xr-x 2 root root 189360 Feb 21 18:52 ncftpbatch
-rwxr-xr-x 1 root root 187840 Feb 21 18:52 ncftpget
-rwxr-xr-x 1 root root 154232 Feb 21 18:52 ncftpls
-rwxr-xr-x 1 root root 183840 Feb 21 18:52 ncftpput
-rwxr-xr-x 2 root root 189360 Feb 21 18:52 ncftpspooler
————————————————-

//対象のサーバに接続 (2パターン)
open -u XXXxxxx.co.jp
※-uはユーザー認証式でログイン

ncftp -u userid -p password XXXxxxx.co.jp
※あらかじめ必要情報を入力しての認証接続

//closeで一回切断
close

//ここまでできればあとは取得のみ。
/usr/local/bin/ncftpget -u userid -p ‘password’ -R ftp://XXXxxxx.co.jp/www/
[www]直下のファイルを全部取得です。
重いと時間かかるんで注意

これをshで書いて、cloneに登録すれば自動でファイルを定期的に取得してくるバッチの完成だぁ!

HPのバックアップやらログの取得に最適っつうことでした。

Dovecotの設定


※雪だるま

前回の日記に引き続き、今回は受信メールサーバ(Dovecot)の設定備忘録。
こっちはpostfixとくらべて比較的すぐに終わった。

【Dovecotをインストール】

・yumで一瞬でインストール
yum -y install dovecot
「Complete!」とでてればOKです。

【dovecot.confの設定】
・/etc/dovecot.confを修正する。

#mail_locationにメール受信先を指定
mail_location = maildir:~/Maildir

#protocolsのを設定
protocols = imap imaps pop3 pop3s

【Dovecotを起動】
・/etc/rc.d/init.d/dovecot start
Starting Dovecot Imap: [ OK ](おkならおkですw

・お決まりの自動起動設定
chkconfig dovecot on
chkconfig –list dovecot
dovecot 0:off 1:off 2:on 3:on 4:on 5:on 6:off(3がONならおkです。

【メールボックスの設定】
これで新規メールユーザー作成時に、ユーザーrootにmaildirが作成される。
mkdir -p /etc/skel/Maildir/{new,cur,tmp}
chmod -R 700 /etc/skel/Maildir/

とまぁここで出来たのがちょっと奇跡だったぁ。
参考サイトの皆様ほんと感謝です。

今回参考にしたサイト
【さくらのVPSをもう少しセットアップしてみる】
http://blog.justoneplanet.info/2010/10/24/
【searchman】
http://www.searchman.info/fedoracore4_apply/sev1050.html

postfixの設定

さくらvpsでsendmailが非常に邪魔なので、postfixを導入しました。
忘れない様にここにpostfixの設定方法を追記。

しかし設定に丸々3日かかりました・・・。
ネットワーク系を独学で始めると消耗が激しい・・・。

【postfixのインストール】

・yumコマンドでインストール
yum -y install postfix

「Complete!」とでてればOKです。
出なかったらsendmailなどが動いていないか確認。

・sendmail が動いてたら止めて、再実行。
/etc/rc.d/init.d/sendmail stop

・ゴミ掃除。
/etc/rc.d/init.d/sendmail stop

【postfixを有効化】
メールサーバの設定を確認
alternatives –config mta
~~~~~~~~~~~~~~~~~~~~~~
[root@hogege sasl]# alternatives –config mta

There is 1 program that provides ‘mta’.

Selection Command
———————————————–
*+ 1 /usr/sbin/sendmail.postfix

Enter to keep the current selection[+], or type selection number: 1(この場合は1を設定)
~~~~~~~~~~~~~~~~~~~~~~

/usr/sbin/sendmail.postfix以外が選択されていたらsendmail.postfixに設定。

【/etc/postfix/main.cfの設定】
/etc/postfix/main.cfを vi or エディタで修正する。

#myhostnameにドメインを指定
myhostname = tantan.jp

#mydomainにドメインを指定
mydomain = tantan.jp

# Postfix から送信される発信元アドレスにmydomainを設定する。
myorigin = $mydomain

# Postfix を中継できるクライアントを制限する。
# この設定だと、内側からの送信限定(外部から中継する場合、許可したいIPを指定)
mynetworks = 192.168.0.0/24, 127.0.0.0/8

#inet_interfacesをallに設定
inet_interfaces = all 

#ローカルに配送するドメインを指定(指定しないとメール配送ループの危険があるそです)
mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain

#### ## ## ## ##
#
# 制御関連
#
#### ## ## ## ##

# HELO(EHLO)コマンドの要求
smtpd_helo_required = yes

# VRFYコマンドを無効(Eメールアドレス収集対策)
disable_vrfy_command = yes

# 厳密な RFC 821-形式のエンベロープアドレスの要求
strict_rfc821_envelopes = yes

# 受信者アドレスが最初の文字として `-‘ を持つことを許可します。 コマンドラインでEメールアドレスを渡すソフトウェアでの事故を避ける ため、デフォルトではこれを認めません。
allow_percent_hack = yes

# “site!user” から “user@site” への書き換えを有効にします。これは マシンが UUCP ネットワークに接続されている場合に必要です。これは デフォルトで有効になっています。
swap_bangpath = yes

# 信頼していないクライアントから $relay_domains にマッチする配送先へ、 送信者が指定したルーティング (user[@%!]remote[@%!]site) を持つメールを 転送します。
# デフォルトでは、この機能は無効になっています。これはバックアップ MX ホストが騙されてジャンクメールをプライマリ MX ホストに転送してしまい、 spam が世界中に送られてしまうことになる、厄介なオープンリレーの 抜け穴を塞ぎます。
allow_untrusted_routing = no

# クライアントからSMTP接続の要求を受けた際の制御(逆引き出来ない接続を拒否)
smtpd_client_restrictions = permit_mynetworks, reject_unknown_client, permit

# SMTP HELOコマンドの場面で適用する制限(ホスト名の文法が不正な接続を拒否)
smtpd_helo_restrictions = permit_mynetworks, reject_invalid_hostname, reject_unknown_client, permit

# 受信者アドレス制限 : メール中継の制限(オプションパラメータでの制限をする場合に使う)
smtpd_recipient_restrictions =permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination

# 送信者アドレス制限 : MAIL FROM コマンドの場面で適用する制限(ドメインが存在しない場合は拒否)
# smtpd_sender_restrictions = reject_unknown_sender_domain, reject_sender_login_mismatch
smtpd_sender_restrictions = reject_unknown_sender_domain

# ETRN コマンド制限
smtpd_etrn_restrictions = permit_mynetworks, reject_invalid_hostname

# SMTP-Auth設定
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $myhostname

# 受信メールサイズ制限 (受信メールサイズを10MB=10*1024*1024に制限)
message_size_limit = 10485760

こんな感じで設定完了。
あとはsmtpdの設定をちょっと各自改良してください。

【postfixの起動と自動起動化】
/etc/rc.d/init.d/postfix start
Starting postfix: [ OK ](おkでたらおkw

chkconfig postfix on(自動設定起動
chkconfig –list postfix
postfix 0:off 1:off 2:on 3:on 4:on 5:on 6:off(3がONならおkです。

これでメールの送信は可能になったと思います。
次回はメール受信サーバの設定。

=========================
■お世話になった、参考サイト
【送信メールサーバー(Postfix)をつくり、メールの送信の準備をする。】
http://www.searchman.info/fedoracore4_apply/sev1040.html
【Linuxで自宅サーバ】
http://www.miloweb.net/mail.html#5
【ホームサーバー(自宅サーバー)をLinuxのFedora Coreで構築】
http://home-server.sakura.ne.jp/fed3mail.htm
http://www.miloweb.net/mail.html#5
【ひじき.net】
http://www.hijiki.net/archives/000040.html