ヘルプ:リバースプロキシの通信内容暗号化にFujiSSLを導入(CentOS8)

提供:あわ自由帳

メインページ > ヘルプ:目次 > ヘルプ:自宅サーバー構築(CentOS8)  > リバースプロキシの通信内容暗号化にFujiSSLを導入(CentOS8)

  • 動作確認しました。
  • 偶にしか行わないので、忘れないように書いておく。
  • Webサーバー間通信内容暗号化 (自己署名)(CentOS8)で、バックエンド、Webサーバーを構築してください。
  • ホスト名、IPアドレスは自宅サーバーの環境に置き換えること。

apacheでリバースプロキシを導入した。
リバースプロキシとは, 特定のサーバへの要求を必ず経由するように設定されたプロキシサーバのことである。
今回は, 1つのグローバルIPで複数のWebサーバを公開するために設定した。
リバースプロキシは外部からのパケットをLAN内部でアクセスされたドメインごとにアクセスさせるサーバを変える。
今回は, apacheのリバースプロキシ機能を用いることにした。
また, バーチャルホストを用いることでドメインごとにアクセスするサーバを変更する。

FujiSSL から SSL サーバー証明書を取得する

まず、申請に必要な CSR ファイルの作成から行います。

秘密キーの生成

SSL サーバー証明書に必要な秘密鍵を生成する。

[root@host3 ~]# mkdir ssl-key 

[root@host3 ~] openssl genrsa -des3 -out ./ssl-key/ssl-awajp.com.key 2048
・
・
Enter pass phrase for ./ssl-key/ssl-awajp.com.key: ← 任意のパスワードを応答※表示はされない
Verifying - Enter pass phrase for ./ssl-key/ssl-awajp.com.key: ← 任意のパスワードを応答※表示はされない

Webサーバー起動時にパスワードを要求されないようにするためサーバー用秘密鍵からパスワード削除。

[root@host3 ~]# openssl rsa -in ./ssl-key/ssl-awajp.com.key -out ./ssl-key/ssl-awajp.com.key
Enter pass phrase for ./ssl-key/ssl-awajp.com.key: ← サーバー用秘密鍵・証明書作成時のパスワード応答※表示はされない
writing RSA key

このようにすることで、SSL サーバー証明書に必要な秘密鍵を "./ssl-key/ssl-awajp.com.key" として生成することができました。秘密鍵が生成できたら、それを用いて CSR ファイルを生成します。

CSRファイルを生成

秘密鍵が生成できたら、それを用いて CSR ファイルを生成します。

※入力には以下の点にご注意ください。

半角の英数字64文字以内で入力してください 識別名に、以下の文字 は使用できません ! ” # $ % & ( ) * + / ; < > ? @ [ ¥ ] ^ _ ` { | } ~ 「&」が含まれる場合は、半角英字の and 等に置き換えてください スペースのみの入力は控えてください。 スペースのみの入力項目がある場合、 証明書が発行されません CSRは、emailAddressを含めないよう生成ください。 emailAddress を含んだCSRを送付いただいても、 弊社発行の証明書には emailAddress は含まれません。

[root@host3 ~]# openssl req -new -key ./ssl-key/ssl-sudachi.jp.key -out ./ssl-key/ssl-sudachi.jp.csr
フィールド 説明
Country Name (2 letter code) 国を示す2文字のISO略語 JP
State or Province Name (full name) 組織が置かれている都道府県 Tokushima
Locality Name (eg, city) [Default City] 組織が置かれている市区町村 Tokushima-shi
Organization Name (eg, company) 組織の名称(個人の場合はドメインの登録者名) awajp.com
Organizational Unit Name (eg, section) 組織の部門名(入力しなくても良い) System
Common Name Webサーバーのコモンネイム awajp.com
Email Address 入力不要
A challenge password 入力不要
An optional company name 入力不要

これで、先ほど作成した秘密鍵に対応した CSR ファイル "./ssl-key/ssl-mail.csr" の生成できました。これをもって、SSL サーバー証明書の取得申請を行う運びとなります。

SSLサーバ証明書申込

FujiSSLストアフロント へアクセスすると、そこには申請における注意事項が掲載されています。それらに目を通した上で、申込フォームに必要事項を入力します。必要事項は契約期間などといった簡単なものがほとんどでした。

クレジットカード払いの場合だと、すぐに "SSL 証明書発行承認依頼通知" が送られてきます。

送られてきたメールの URL をクリックして承認画面を表示して、内容事項に間違いなければ 【承認します】 ボタンをクリックします。すると、SSL サーバー証明書が記されたメールが届くので、これで SSL サーバー証明書の発行手続きは完了となります。

サーバー証明書設定

SSL サイト設定の "SSLCertificateFile" と "SSLCertificateKeyFile" と "SSLCertificateChainFile" とに、それぞれ "SSL サーバー証明書" と "秘密鍵" と "中間証明書" とを設定すれば、これで SSL サイトの運営準備が完了します。

SSLサーバー証明書

メールで送られてきた SSLサーバ証明書(X.509形式)の "-----BEGIN CERTIFICATE-----" を含むそこから "-----END CERTIFICATE-----" を含むそこまで貼り付けます。

[root@host3 ~]# vi /etc/pki/tls/certs/ssl-awajp.com.crt
-----BEGIN CERTIFICATE-----
・
・
-----END CERTIFICATE-----

秘密鍵コピー

[root@host3 ~]# cp ./ssl-key/ssl-sudachi.jp.key /etc/pki/tls/certs/ssl-awajp.com.key

SSLサーバ中間証明書

メールで送られてきた 中間証明書(INTERMEDIATE CA) の "-----BEGIN CERTIFICATE-----" を含むそこから "-----END CERTIFICATE-----" を含むそこまで貼り付けます。

[root@host3 ~]# vi /etc/pki/tls/certs/ssl-awajp.com-chain.crt
-----BEGIN CERTIFICATE-----
・
・
-----END CERTIFICATE-----

パーミッション変更

安全のため所有者以外が読み書きできなくする。

[root@host3 ~]# chmod 600 /etc/pki/tls/certs/ssl-awajp.com*

リバースプロキシの設定を行うドメインの設定

転送元バーチャルホスト設定ファイル作成

ここで, ProxyPass*の設定で最後に”/”をつけておかないと、そこからのリンクのパスがおかしくなり移動できないので注意。

[root@host2 ~]# vi /etc/httpd/conf.d/virtualhost-awajp.com.conf

## 作成:2020-03-14 修正:2020-03-15
<IfModule mod_proxy.c>
    #フォワードプロキシ機能の無効化
    ProxyRequests Off
    #リバースプロキシなので制限をしない。
    <Proxy *>
        Order deny,allow
        Allow from all
    </Proxy>
    #プロキシ経由であることをヘッダに記述しない
    ProxyVia Off                                                                                  
    # プロキシリクエストに、受け付けた Host HTTP ヘッダを使う
    ProxyPreserveHost On

    <VirtualHost *:80>
        DocumentRoot "/var/www/virtualhost/awajp.com"
        ServerName awajp.com:80 ← 追加ホストサーバー名を指定
        ErrorLog logs/awajp.com-error_log ← 追加ホスト用エラーログファイル名を指定
        CustomLog logs/awajp.com-access_log combined env=!no_log ← 追加ホスト用アクセスログファイル名を指定
        # SSL通信にリダイレクト
        RewriteEngine On
        RewriteCond %{HTTPS} off
        RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
    </VirtualHost>

    <VirtualHost *:443>
        DocumentRoot "/var/www/virtualhost/awajp.com"
        ServerName awajp.com:443 ← 追加ホストサーバー名を指定
        ErrorLog logs/awajp.com-ssl_error_log ← 追加ホスト用SSLエラーログファイル名を指定
        CustomLog logs/awajp.com-access_log combined env=!no_log ← 追加ホスト用アクセスログファイル名を指定
        Alias /awstatsreport /var/www/awajp.com/awstatsreport

       # APC INFO アクセス制限
       <Location "/apc">
           Require all denied
           Require ip 127.0.0.1
           Require ip 192.168.1.0/24
       </Location>
       # OpCache 状態確認アクセス制限
       <Location "/opcache-status">
           Require all denied
           Require ip 127.0.0.1
           Require ip 192.168.1.0/24
       </Location>

        ## SSL Engine Switch:
        ## Enable/Disable SSL for this virtual host.
        SSLEngine on
        SSLProxyEngine on  ← 追加
        SSLProxyCheckPeerCN off  ← 追加(証明書の確認をスキップ)
        SSLProxyCheckPeerName off  ← 追加(証明書の確認をスキップ)

        RequestHeader set X_FORWARDED_PROTO 'https'

        # awstats awstatsicons awstatsreport へのリクエストはプロキシしない
        ProxyPass /awstats/ !
        ProxyPass /awstatsicons/ !
        ProxyPass /awstatsreport/ ! 

        ProxyPass / https://192.168.1.3:443/  ← 転送先追加
        ProxyPassReverse / https://awajp.com:443/  ← 転送先追加
        ProxyPassReverseCookieDomain 192.168.1.3 awajp.com  ← 追加
        ProxyPassReverseCookiePath / /  ← 追加

        ## SSL Protocol support:
        # SSLv2、SSLv3を無効化する
        SSLProtocol All -SSLv2 -SSLv3

        ## SSL Cipher Suite:
        SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5

        ## Speed-optimized SSL Cipher configuration:
        SSLHonorCipherOrder on 
        SSLCipherSuite  ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS

        ## Server Certificate:公開鍵を指定
        SSLCertificateFile /etc/letsencrypt/live/awajp.com/cert.pem

        ## Server Private Key:秘密鍵を指定
        SSLCertificateKeyFile /etc/letsencrypt/live/awajp.com/privkey.pem

        ## Server Certificate Chain:中間証明書を指定
        SSLCertificateChainFile /etc/letsencrypt/live/awajp.com/chain.pem

        ## SSL Protocol Adjustments:
        BrowserMatch "MSIE [2-5]" \
             nokeepalive ssl-unclean-shutdown \
             downgrade-1.0 force-response-1.0

        Header always set Strict-Transport-Security "max-age=15768000"
    </VirtualHost>
</IfModule>

Webサーバー再起動

「httpd.conf」の文法チェック

[root@host2 ~]# apachectl configtest
Syntax OK

Webサーバー再起動

[root@host2 ~]# systemctl restart httpd

動作確認

[root@host2 ~]# systemctl status httpd
 httpd.service - The Apache HTTP Server
   Loaded: loaded (/usr/lib/systemd/system/httpd.service; enabled; vendor preset: disabled)
   Active: active (running)  since 土 2017-05-06 13:45:58 JST; 46s ago
     Docs: man:httpd(8)
           man:apachectl(8)
  Process: 29305 ExecStop=/bin/kill -WINCH ${MAINPID} (code=exited, status=0/SUCCESS)
 Main PID: 29311 (httpd)
   Status: "Total requests: 9; Current requests/sec: 0.111; Current traffic: 1.3KB/sec"
   CGroup: /system.slice/httpd.service
           ├─29311 /usr/sbin/httpd -DFOREGROUND
           ├─29312 /usr/sbin/httpd -DFOREGROUND
           ├─29313 /usr/sbin/httpd -DFOREGROUND
           ├─29314 /usr/sbin/httpd -DFOREGROUND
           ├─29315 /usr/sbin/httpd -DFOREGROUND
           ├─29316 /usr/sbin/httpd -DFOREGROUND
           ├─29317 /usr/sbin/httpd -DFOREGROUND
           ├─29318 /usr/sbin/httpd -DFOREGROUND
           ├─29322 /usr/sbin/httpd -DFOREGROUND
           ├─29323 /usr/sbin/httpd -DFOREGROUND
           └─29324 /usr/sbin/httpd -DFOREGROUND

 5月 06 13:45:57 host3.sudachi.jp systemd[1]: Starting The Apache HTTP Server...
 5月 06 13:45:58 host3.sudachi.jp systemd[1]: Started The Apache HTTP Server.