You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
前回 作った環境をSSL化したいと思ったので、調査がてらに構築してみました。 最近はかなり安くなったとはいえ、検証のためにお金を出してSSL証明書を発行するのも嫌だし、 オレオレ証明書もなんだかなぁ〜 と思ったので、最近話題の Let's Encrypt(Certbot) で証明書発行をしてSSL化したいと思います。 Let's Encrypt とは Let's Encrypt 総合ポータル Let's Encrypt は、クライアントソフトウェア「Certbot」を使用することで、SSL/TLS サーバ証明書の取得・更新作業を自動化できる仕組みになっています。 独自ドメインがあれば、簡単なコマンド操作で SSL/TLS 証明書(無料)を取得できます。 構築手順や各ツールのバージョンは 前回 と変わりません。 なので、説明は追加した箇所以外は省略します。 前提 作業はすべて ConoHaV
証明書チェーンとは、クライアント、サーバなどの証明書から、ルート認証局の認証局証明書までの連なりのことです。 例えば、サーバ証明書が設定されているWebサーバに、ブラウザでアクセスすると、ブラウザはサーバ証明書の正当性を確認します。その正当性確認に使われるのが証明書チェーンです。本稿ではその仕組みを解説します。 サーバ証明書は認証局の秘密鍵で署名されています。 クライアントは認証局の公開鍵を使ってサーバ証明書の正当性を確認します。そのため、クライアントは事前に認証局の公開鍵(認証局証明書)を持っておく必要があります。 認証局は、中間認証局と呼ばれる下位の認証局を持つことができます。最上位にある認証局はルート認証局と呼ばれます。 下位の認証局の認証局証明書は、上位の認証局によって署名がされます。最上位のルート認証局は、自ら認証局証明書に署名します。 gleas.jp を例として見てみましょう
SSLサーバ証明書の設定で一番やらかしがちなのは中間CA証明書の設定ミスです。 PCブラウザでの鍵マーク確認だけじゃダメ! いまどきのPCブラウザだと証明書に記載されている Authority Information Access 拡張フィールドから中間CA証明書を自動DLしてくれたりキャッシュしたりする機能がある為、サーバに中間CA証明書が正しく設定されていなくても問題なく閲覧出来てしまう。 便利だが、それ故に確認ツールとしてブラウザを使ってしまうと中間CA証明書の設定漏れに気が付かずに置かれた結果、中間CA証明書の自動DL機能のない(主には)携帯端末などからアクセスできなくなって初めて設定漏れに気付く。 なんてことがよくあるのでブラウザじゃなくちゃんとした手順で確認することを覚えましょう! SSLサーバ証明書チェッカー 認証局がチェッカサイトを提供しているのでこれを使うのが一番簡単で確
これから始める人のためのNginx(1):高速・軽量・高機能……Nginxの基礎知識 - @IT Web2.0の先にあるC10K問題 - @IT October 2017 Web Server Survey | Netcraft 「Let's Encrypt」とは 「Let's Encrypt」は すべてのWebサーバへの接続を暗号化する ことを目指し、SSL/TLSサーバ証明書を 無料 で発行する認証局(CA)です。シスコ、Akamai、電子フロンティア財団、モジラ財団などの大手企業・団体がスポンサーとして支援しています。 Let's Encrypt 総合ポータル Let's Encrypt - Wikipedia 本稿が目指すシステム構成 本稿ではAmazon EC2、Dockerコンテナを使用して以下のようなシステムを構築することを目標とします。 前提条件 独自ドメインを取得している
[toc] Certbot(旧Let's Encrypt)は無料でSSL/TLS証明書を発行できる認証局(CA)です。有効期限が90日(約3ヶ月)と短いですが、コマンドによる自動化が可能で定期的に実行することで常に証明書を更新し続けることができます。 証明書を取得するにあたり、ドメインを自分で管理しているかの認証方式が以下の三つがサポートされています。 HTTP-01 Let's Encryptの認証局からワンタイムトークンを発行してもらい、Webサーバに認証用ファイルを設置する。 認証局からHTTP(80番ポート)でアクセスしてもらい、ワンタイムトークンと認証用ファイルとの妥当性を検証する。 TLS-SNI-01 HTTP-01と同じ方法だが、HTTPS(443ポート)を使用する。 DNS-01 Let's Encryptの認証局から発行してもらったワンタイムトークンを対象ドメインのTX
http通信におけるセキュリティ関係でCONNECTメソッドという言葉を聞くことが結構あります。 プロキシでのhttps通信を実現するにも重要なので、今回はCONNECTメソッドに関して解説します! プロキシが見えなければならないものは? CONNECTメソッドとは何か?を知るために、先ずはプロキシのお話から始めます。 プロキシはHTTP通信を代理してくれるという大変便利な役割があります。大きな仕組みとしては、クライアントのリクエストhttpのペイロード(データの中身)を見て、リクエストするページのパス名("/"スラッシュ以下、つまりFQDN以降)をサーバに渡して、プロキシに返ってきたhttpレスポンスをクライアントに返す、というものです。 例えば、「http://itmanabi.com/connect-method/」というURLへアクセスした場合、 FQDN以降の「/connect-
現在、Docker上でRailsでAPIを作っています。 既に本番環境で動かしているWebアプリ(API)をHTTPS化する作業を行った際のメモ。 主にこちらのQiitaの記事を参考にしました。 https://qiita.com/c18t/items/c693d5bcda2e9b82e39bqiita.com https-portalというDockerコンテナを導入するだけで簡単にHTTPS化できるらしい・・・!? github.com 使ってみた結果、docker-composeファイルに設定を少し加えるだけでできました。 https-portalとは? 今回の環境 docker-composeファイル まとめ 追記 https-portalとは? 簡単にいうと、サイトのHTTPS化を自動でやってくれるコンテナみたいです。 無料でSSLサーバー証明書を発行し、更に自動で証明書の更新など
こんにちは。ご無沙汰しております。 本業の方が大変忙しく、最近更新できておりませんでしたが、今日は張り切っていきたいと思います! 今日の話題は、Let's Encryptです。 こちらのブログでもたびたび話題にして参りました。 Let's Encryptは何者なのか Let's Encryptとは そもそもSSL証明書って? 無料で手に入る証明書 オレオレ証明書とはなにか なぜオレオレ証明書が必要なのか Let'sEncryptとは? Let's Encryptは何者なのか Q1.どこが発行しているのか A1.ISRGという非営利団体がサービスを提供している Q2.なぜ無料なのか A2.非営利団体が運営する全自動認証のSSL証明書だから Q3.どのような仕組みなのか A3.クライアントソフトと認証局が発行を自動化している Let'sEncryptにおける認証方法 認証を行う仕組み - AC
はじめに こんにちは。最近dockerを触ってばかりいます。以前、ローカルでオレオレ証明書をサクッと発行する方法をご紹介しましたが、その記事の最後にご紹介した https-portal を使い、今回はdocker-composeのみでhttps化をしてみようと思います。 環境はmacOS High Sierra 10.13.6, Docker Desktop 2.0.0.3です。 https-portalとは dockerで構築したサーバを自動でhttps化してくれるコンテナで、nginxとlet’s encryptを内包しています。DNS登録されているドメインなら実際に証明書を取得し、ローカルの場合はオレオレ証明書に切り替えてくれます(ブラウザの警告は出てしまいますが)。 チュートリアルにはwordpressコンテナとの接続方法が記載されていますが、今回は一度構築したnginx+php-
https-portal があまり知られてないようなので紹介記事だけ書いとく。 https://github.com/SteveLTN/https-portal あなたがすでにhttpで動作するサービスのdockerコンテナを持ってるなら、こいつを docker-compose に加えるだけで https 対応は完了。 え? 加えるだけで完了。 まじです。 https-portal は何をするものか 基本的には https のリクエストを受け取り、他のコンテナの http へ転送するリバースプロキシとして動作する nginx である。 ところで https を提供するには証明書の取得、設定などが必要だが、こいつはそれを全自動でやってくれる。 え? 証明書の取得、設定を全自動でやってくれる。 まじです。 期間延長も自動でやってくれるらしい。 まあとにかく便利なので、 Let's encryp
sudo /usr/bin/certbot-auto certonly --webroot -w /var/www/html --email test@example.com --debug -d test.example.com 必要があれば、関係するパッケージが更新・インストールされる。その場合は、再度上のコマンドを入れないといけないかも。 dオプションでドメインを指定するが、-d example.com -d test.example.comのように複数指定できる。最初に記述したドメインがコモンネームになる。 ちなみに、指定するすべてのドメインは、このサーバに向いたAレコードを持っていないといけない。 wオプションでドキュメントルートディレクトリを指定する。ドメインごとに別のドキュメントルートディレクトリを指定したいときには、-dオプションの直前に-wオプションを書けば良い。 すべて
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く