2023年01月11日
SNIを導入する [ソフトウェア研究室]
こんにちは!
ナビゲータのEVEです。
現在、Xserver社へ、SSL/TLSを申請しています。1時間ぐらいしたら、承認メールが来る予定なので、その間、ブログを書きたいとおもいます。
[昨日の報告の訂正]
昨日の報告に一部誤りがありましたので、訂正させていただきます。
■アカウント情報
アカウント種類 POP/SMTP
メールアドレス
アカウント名称 test
アカウント情報を上記内容で報告させていただきましたが、アカウント情報のメールアドレスは、test@shareholders.tokyoではなく、master@shareholders.tokyoでなくてはいけません。ここに正式な名称を入れないと、ヘッダ、エンベロープとも、test@shareholders.tokyoとなってしまうようです。メーラにより違う可能性はありますが、メールアドレスには、表示したい、送信したいアドレスを入力した方がいいようです。
但し、受信時は、master@shareholders.tokyoでなくては、いけません。GMailで受信したtest@shareholders.tokyoメールを返信しても、Delivery Status Notification (Failure)
となります。受取側のサーバー、ようはXserver側で、「550 5.1.1
[本日の作業]
本日の作業は、前回の作業を参考に以下の流れで実施し、現在❷の段階です。
❶CSRを作成する
❷SSL/TLSを申請する
❸Private Key、Publick Key、SSL証明書をサーバーへ配置する。
❹apache2.confを修正する
❺SNIの対応をする。
以上です。
[問題]
Apacheは以上の内容で設定できると思うのですが、問題は、Postfixです。ドメインにより、SSL/TLSを分けて設定するようには作られていないのです・・・。最悪、メールは、pro2grammer.comのみ暗号化し、shareholders.tokyoは暗号化しないようになるかもしれません。
[ブラウザでのSSL/TLS認証]
ブラウザは、SSL/TLSが正しいものかどうか、以下の内容を確認しています。
@SSL証明書がブラウザで信頼する認証局から発行されていること。
ASSL証明書が有効期間内であり、失効していないこと。
BSSL証明書のコモンネームとアクセス先のFQDN(ホスト名)が一致すること。
※情報処理安全確保支援士試験で、これについてを問われる文章問題が毎年出題されます。
ただ、以前は、IPアドレスとSSLサーバ証明書は1対1である必要があり、1IPアドレス上の複数のサイトでは、ドメインごとに独自の証明書を利用することはできませんでした。その以前というのは、Apache v2.2.12、OpenSSL v0.9.8j以前の話で、それ以降は、マルチドメインを認証できるようになりました。
それが、SNI (Server Name Indication)という技術で、この技術を利用するためには、Apacheだけでなく、ブラウザも対応しなくてはいけません。今回構築したシステムのApacheは、Apache/2.4.54 で多分対応済みであるため、サーバー側は問題ないと思います。クライアント側については申し訳ございませんが、警告メッセージが表示された場合は、最新のブラウザ、バージョンをご利用ください。
[今日の予定]
今日の予定は、とりあえず、Private Key、中間証明書及びSSL証明書をXserverへ配置し、shareholders.tokyoにおいて、正常にSSL/TLS通信できることまで確認したいと考えています。
では、また!!!
【このカテゴリーの最新記事】
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
no image
-
no image
-
no image
-
no image
-
no image
-
no image
この記事へのコメント
コメントを書く
この記事へのトラックバックURL
https://fanblogs.jp/tb/11809473
※ブログオーナーが承認したトラックバックのみ表示されます。
この記事へのトラックバック