簡単にまとめると以下の流れになります。
1.秘密鍵作成
2.作成した秘密鍵を使ってCSR作成
3.作成したCSRをサーバ認証機関に申請
4.サーバ認証機関から証明書が発行される
5.CSRを作った秘密鍵と証明書をサーバにインストール

1,2は基本的にコマンドで作成する必要がありますが、Windowsでは使えません。
作成するコマンドを使うためには「Git Bush」をインストールする必要があります。
インストールできない環境の場合はLinuxで作成するか作成できるWEBサイトを活用するしかありません。

インストール方法は以下の記事

WindowsでSCPを使う二つの方法

SCPコマンドとは SCPコマンドはリモートのマシンにデータをコピーするコマンドです。コピーコマンドのcpにsがついています。 sはSSH...

web-creators-hub.com

2019-08-20 00:30

Git Bushを使ってコマンドで作成する場合

インストールが終わったらGit Bushを起動しコマンドを使って秘密鍵作成を行います。
コマンドは「winpty openssl」を使います。Linuxのように「openssl」のみで実行すると作成できませんので必ず「winpty」を付けてください。

・形式（RSA）

winpty openssl genrsa オプション

以下のコマンドで作成します。

winpty openssl genrsa -out ./server.key 2048 

・説明
[winpty openssl genrsa]
RSA暗号形式を使って秘密鍵を作成する。
RSA暗号とは桁数が大きい数の素因数分解を解くのが困難であるという特性を利用した暗号化技術。
素因数分解の問題を簡単に解く方程式がないのでひたすら計算するしかない。もしスーパーコンピュータを使っても桁数が多いとほぼ解けない。

[-out ./server.key]
出力する秘密鍵の名前を任意で決める。

[2048]
RSA暗号形式の強度。大きいと強度が大きくなる。2048以上あれば問題ない。

秘密鍵にパスフレーズを付けたい場合

オプションに-des3を追加するとパスフレーズが設定できる。

winpty openssl genrsa -des3 -out ./server.key 2048  
Enter pass phrase for ./server.key:　　　　　　　　　　←パスワード  
Verifying - Enter pass phrase for ./server.key:　　　　←再度パスワード

CSRを作成

作成した秘密鍵を使ってCSRを作成します。

openssl req -new -key [秘密鍵] -out [出力するCSRの名前]

以下のコマンドで作成します。

openssl req -new -key ./server.key -out ./server.csr

以下の質問に答えCSRを作成します。

You are about to be asked to enter information that will be incorporated  
into your certificate request.  
What you are about to enter is what is called a Distinguished Name or a DN.  
There are quite a few fields but you can leave some blank  
For some fields there will be a default value,  
If you enter '.', the field will be left blank.  
  
Country Name (2 letter code) [XX]:JP  
State or Province Name (full name) []:Chuo-ku, Osaka-shi
Locality Name (eg, city) [Default City]:Osaka
Organization Name (eg, company) [Default Company Ltd]:company 
Organizational Unit Name (eg, section) []:空白  
Common Name (eg, your name or your server's hostname) []:hogehoge.com
Email Address []:空白  
  
Please enter the following 'extra' attributes  
to be sent with your certificate request  
A challenge password []:空白  
An optional company name []:空白  

・説明
[Country Name]
国コードを入力します。日本の場合はJPを入力。

[State or Province Name]
市区町村を入力します。

[Locality Name]
都道府県を入力します。

[Organization Name]
組織・団体名を入力します。

[Organizational Unit Name]
部門・部局を入力します。空白でも問題ないです。

[Common Name]
SSL化したいFQDNを入力します。

他の項目は空白で問題ないです。

WEBサイトのCSR・秘密鍵生成ツールで作成する

コマンドを使う以外にもWEBアプリを使う方法があります。SSL発行会社のほとんどがWEBサイト上で作成するツールをもっています。
これを利用することで簡単に作成することができます。

CSR・秘密鍵生成ツール
https://www.ssl-mart.com/system/tool/generateCsr

申請する

SSL証明書を発行してもらうために発行会社にCSRを提出します。申請はフォームからできます。作成したCSRをテキストエディタで開き、内容をコピーしフォームに貼り付けます。
その後ドメイン認証型の場合は申請者が本当にドメインの所有者かどうか承認してもらう必要があります。承認方法は指定の受信メールアドレスを選択するか指定のファイルをアップロードかのどれかになります。申請するSSL会社によりますが、だいたいこの二通りになります。

証明書発行

承認完了後、メールでSSL証明書と中間証明書が届きます。Apacheに届いた証明書と中間証明書、申請したCSRを作成した秘密鍵をインストール(設定)します。CSRはインストールに必要ありません。インストール方法は割愛します。

ペアの確認方法

CSR(公開鍵)、秘密鍵、証明書はそれぞれペアでなければなりません。
秘密鍵がほかのものになっている場合はエラーがでて動作しません。不安な時は必ずチェックしてください。

確認方法はコマンドで行います。Windowsの場合はGit Bashを起動してください。

・CSRファイルのチェックサム取得

openssl req -noout -modulus -in [CSR名] | openssl md5

openssl req -noout -modulus -in server.csr | openssl md5
(stdin)= 47bab85c249c832344bfec3d3a52e77b

・秘密鍵ファイルのチェックサム取得

openssl rsa -noout -modulus -in [秘密鍵名]| openssl md5

openssl rsa -noout -modulus -in server.key | openssl md5
(stdin)= 47bab85c249c832344bfec3d3a52e77b

・SSL証明書ファイルのチェックサム取得

openssl x509 -noout -modulus -in [証明書名] | openssl md5

openssl x509 -noout -modulus -in server.crt | openssl md5
(stdin)= 47bab85c249c832344bfec3d3a52e77b

チェックサム(stdin)の値が同一であれば問題ありません。違う場合は間違っています。

無料SSLでサイト構築

現在、Let’s Encryptという認証局を使えば無料で常時SSL化したサイトが簡単に構築できます。今回はLet’s Encryptを使ってSSL化する方法を解説していきます。環境は「CentOS6 Apache+openssl」で行います。

Let’s Encryptとは

Let’s Encryptとは誰もが無料で利用できる自動化されたオープンな認証局です。認証局はアメリカ合衆国のカルフォルニア州の公益法人が運営しています。

Let’s Encryptの目的はインターネットを安全に通信を行うためのさまざまな障壁（経済面・技術面・教育面）を減らすことです。このような目的があるため、常時SSL化したサイトが簡単に構築できます。

自動証明書発行の仕組み

基本的に認証の流れは前回説明した記事の流れと同じですが、「Let’s Encrypt」ではその流れをすべて自動で行います。「certbot-auto」というツールでサーバはドメイン情報を送信し、認証局はドメインの存在や正常性を確認します。

その後、サーバはCSR送信し、認証局は証明書を発行します。サイト運営者は発行された証明書をサーバにインストールします。証明書のインストール以外は「certbot-auto」ツールがすべて自動で行います。

有料版SSLと無料SSLの違い

有料版SSLと無料SSLの違いは認証局の信用度の違いにあります。料金が高いものであれば認証局の審査が厳しく、その分サイトの信頼性が上がります。

クレジットカード情報などの重要な個人情報を取り扱う場合は、このような有料版を使うことでユーザーに安心感を与えることができます。しかし、SEOのためにSSL化する場合は機能にほぼ変わりがないため無料SSLで十分です。

セットアップ

では実際にセットアップしていきます。準備として「certbot-auto」のツールをダウンロードします。

curlコマンドを使ってツールをダウンロードします。

curl https://dl.eff.org/certbot-auto -o /usr/bin/certbot-auto

chmodコマンドでツールの実行権限を与えます。

chmod a+x /usr/bin/certbot-auto

「certbot-auto」のツールを使って依存しているパッケージをインストールします。

certbot-auto --os-packages-only --non-interactive

「certbot-auto」のツールを使って証明書を取得します。認証するサイトのドメイン名とドキュメントルートのパス、メールアドレスを入力します。メールアドレスは更新期限が近づいたときに通知されるメールアドレスを指定します。

#certbot-auto certonly --non-interactive --agree-tos --webroot -w ドキュメントルートのパス -d ドメイン名 --email メールアドレス
#例 ドメインhogehoge.comの場合
certbot-auto certonly --non-interactive --agree-tos --webroot -w /var/www/vhosts/hogehoge.com/httpdocs -d www.hogehoge.com --email hogehoge@hogehoge.com

発行された証明書をインストールする前に、サーバの環境を整えます。
まずopensslがインストールされているか確認します。

rpm -qa | grep openssl-devel

インストールされていない場合はインストールします。

yum install openssl-devel

Apacheと連携するためにモジュールをインストールします。

yum install mod_ssl

これでサーバの環境が整いましたので、発行された証明書をインストールします。
Apacheの設定を追加します。
例：hogehoge.comの場合
コンフィグファイルを作成します。

vi /etc/https/conf.d/ssl.hogehoge.com.config

コンフィグファイルにサイト設定と証明書をインストールします。

<VirtualHost *:443>
　　#サイト設定
    ServerName www.hogehoge.com
    ServerAlias hogehoge.com
    DocumentRoot /var/www/vhosts/hogehoge.com/httpdocs
    ErrorLog /var/www/vhosts/hogehoge.com/logs/error_access_logs
    CustomLog /var/www/vhosts/hogehoge.com/logs/main-access_logs combined env=!no_log
    <Directory /var/www/vhosts/hogehoge.com/httpdocs>
        AllowOverride All
    </Directory>

    #SSL証明書のインストール
    SSLEngine on
    SSLCertificateFile /etc/letsencrypt/live/hogehoge.com/cert.pem
    SSLCertificateKeyFile /etc/letsencrypt/live/hogehoge.com/privkey.pem
    SSLCertificateChainFile /etc/letsencrypt/live/hogehoge.com/chain.pem

</VirtualHost>

SSLのコンフィグファイルにバーチャルドメインの設定を追加します。

vi /etc/httpd/conf.d/ssl.conf

下記コードを追加します。

##
## SSL Virtual Host Context
##
NameVirtualhost *:443

サーバに設定を反映させます。

service httpd resatart

「https://ドメイン名」にアクセスし、エラーが出ていないか確認します。

FireFoxでエラーが出る場合

中間証明書をダウンロードします。

wget https://letsencrypt.org/certs/lets-encrypt-x1-cross-signed.pem

ダウンロードしたファイルを証明書ディレクトリに移動します。

mv lets-encrypt-x1-cross-signed.pem /etc/letsencrypt/live/hogehoge.com/

コンフィグファイルに追加します。

vi /etc/https/conf.d/ssl.hogehoge.com.config

コンフィグファイルに下記を追加します。

SSLCertificateChainFile /etc/letsencrypt/live/hogehoge.com/lets-encrypt-x1-cross-signed.pem

httpsにリダイレクト

ドキュメントルートに「.htaccess」を作成し下記コードを追加します。

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R,L]

自動更新

証明書が期限切れにならないように自動更新コードをCron(スケジューラー)に追加します。

cronファイルを開きます。

crontab -e

下記のコードを追加します。例では午前3時に更新するように設定しています。

MAILTO=""
0 3 * * * root certbot-auto renew --post-hook "/usr/sbin/apachectl graceful" > /dev/null 2>&1

これで完了です。

SSLとは

SSLはセキュリティを重視した通信プロトコルです。データの盗聴を防ぐ暗号化、なりすましを防ぐ認証、情報の改ざんを防ぐ改ざん検出の機能を提供しています。

どのような仕組みでセキュリティを確保しているのか

前項で説明しましたが、SSLは下記3つの機能を提供しています。

• 1.データの盗聴を防ぐ暗号化
• 2.なりすましを防ぐ認証
• 3.情報の改ざんを防ぐ改ざん検出

次項からこれらの機能を詳しく説明していきます。

1.データの盗聴を防ぐ暗号化

通信はすべて盗聴可能です。通常であれば特に問題はありませんが、ショッピングサイトで送信するクレジットカードの情報や個人情報を盗聴されてしまうと悪用される危険があります。

これをどのようにして盗聴されないようにするのでしょうか。これを実現するのが公開鍵暗号化方式による情報の暗号化です。

公開鍵暗号化方式とは、データを暗号化する公開鍵とデータを復号（解読）する秘密鍵を使って通信する暗号化方式です。公開鍵と秘密鍵はペアになっています。

公開鍵はサーバにデータを送信する全てのユーザーが取得でき、ユーザーはデータをサーバに送信する場合その鍵を使ってデータを送信します。秘密鍵は世界に一つしかなくサーバが保持しています。

サーバは秘密鍵を使ってユーザから送られてきたデータを復号します。このようにして盗聴されない通信を可能にしています。

2.情報の改ざんを防ぐ改ざん検出

荷物を遠くの人に配送する時、荷物が破損したり中身を変えられたりする可能性があります。データも同様にデータを離れたサーバに送る時、データが破損したり、改ざん（書き換えられる)される可能性があります。SSLはこのような改ざんを検知する機能が備わっています。

その機能はデータを送信する際にハッシュ関数を使ってハッシュ値（メッセージダイジェスト値）を生成しデータに添付します。ハッシュ値は固定長（32文字、40文字など）の疑似乱数（人間には理解できない意味不明な文字列）で構成されています。

ハッシュ関数はどんな大きなデータもそのハッシュ値に変換し生成します。生成される前のデータが同じであれば同じハッシュ値が生成されますが、生成される前のデータが1文字でも違うと全く違うハッシュ値が生成されます。

サーバは受け取ったデータをハッシュ関数を使ってハッシュ値を生成します。そして添付されたハッシュ値と生成したハッシュ値を比較し一致すれば改ざんされていないと判断します。このようにしてデータの改ざんを検知します。

特徴をまとめると

• ハッシュ値は固定長の疑似乱数
• ハッシュ関数はどんなデータもハッシュ値に変換する
• ハッシュ関数はデータが1文字でも違う変わると全く違うハッシュ値を生成する

3.なりすましを防ぐ認証

なりすましとは、他人が受信者になりすます行為です。よくあるなりすまし行為に「フィッシング詐欺」があります。いくら情報が暗号化されてもサーバ側が悪意のあるもの（詐欺業者など）であれば情報は悪用されます。

それでは暗号化に意味がありません。これを防ぐために第三者機関が受信者であるサイト運営者の身元を確認し、安全を保障することでそのような行為を防ぐことができます。

サイト運営者はサイトが安全であることを証明するために認証局（第三者機関）に安全かどうか認証してもらう必要があります。そこでサイト運営者はCSR（証明書署名要求）を認証局に提出します。

CSRとは電子署名した身元情報と公開鍵をまとめたもので、電子署名とは本人であることを証明するもので電子的なハンコやサインようなものです。認証局はこのCSRから安全なサイトか審査します。

審査後、合格であればSSLサーバ証明書（電子証明書）を発行しサイト運営者に送信します。サイト運営者はSSLサーバ証明書をサーバにインストールしSSL対応のウェブサイトを公開することができます。

このようにSSLはさまざまなアルゴリズムのパッケージで盗聴されない安全な通信を確保しています。

常時SSL化の流れ

Googleではユーザーの個人情報を保護の観点から常時SSL化を支持しています。そして常時SSLがGoogleの検索順位を優遇する一つの要素であり、一般的に常時SSL化はSEO対策の一つとして認識されています。このような流れから現在常時SSLが急速に広まってきました。

個人サイトでのSSL化

SSL化するためには認証局の審査に合格する必要があり、認証にはお金がかかりました。信用性の高い認証機関であれば価格も高額になり個人ではなかなか取得できませんでした。しかし、現在では低価格のものや無料できるものも存在し、個人でも気軽にSSL化できる環境が整いつつあります。

無料SSLでサイト構築

今回はSSLの仕組みを学びましたが、次回では実際に無料でできるSSLを使って常時SSL化したサイトを構築していきます。