CentOS 7でのSSL設定を誤り、元に戻すまで

CentOS 7と呼ばれるOSを用いてサーバーを構築しているのですが、Apacheの設定に誤りがあったために一部ブラウザでのアクセスが出来ない状況となっておりました。(主にFirefox,Win or Linux)数日前まで手持ちのSurfaceなどからはアクセスすることができていたのですが、ThinkPadを中古で購入して整備した翌日以降に気がついたため修正をしておりました。

当サイトの環境

当サイトでは以下の様な環境で運営をしておりました。

  • CentOS 7
  • Apache 2.4.6 / OpenSSL
  • CGI(Include Apache)
  • Movable Type 6

“〜しておりました”と記載していますが、前から抱えていた問題に関して整備中に解決しました。そのため、現在ではCGIがFastCGIへ変更となっております。

構築時当初から設定の誤り

当サイトでは“時代遅れ”とも言われかねないApacheを使っています。MTクラウドとかはnginxを用いていますし、MTAMIもnginxを用いています。管理を考えた時にこのブログを運営する上で必要なスペックを考えた上での選択です。

設定時にCentOS 7でのサーバー設定に関するウェブサイトを確認しながら作業しました。しかし、多くのサイトが通称“オレオレ証明書”(第三者が署名していない物)で登録を進めていたため、以下のページを参考にして進めました。

Link: apache 2.4におけるSSL証明書の設定 - Qiita

CentOS 7になってApache 2.4を搭載しているため、参考にしておりました。また、海外のホスティング会社からもマニュアルとして公開されています。

CentOS 7でyumインストールするApacheは2.4.6

Apache 2.4.8以降のものだと思って設定をしていたためこのような間違いが発生しておりました。(Mac側のバージョンしか確認してなかった)また、参考先のQuita記事にも以下のように記載がされています。

apache 2.4(厳密には2.4.8以降らしい)でSSL証明書の設定でちょっとハマったのでメモ。

CentOS 7に入っているApacheのバージョンを調べてみると以下のとおり。

$ httpd -v
Server version: Apache/2.4.6 (CentOS)
Server built:   Jul 23 2014 14:48:00

2.4.6となっているため、Apacheの設定に関しては今まで通りの設定で良かったということになります。そのため、中間証明書のファイルを別に分けて記述をし、Apacheを再起動しました。

証明書でのエラーが出たら確認すべきコト

最後に、私が確認した無駄工程を記載します。

  • SSL証明書の問題(再発行)
  • 他のブラウザでの確認(ブラウザのスクリーンショットを提供する外部サービスを利用)
  • 中間証明書・ルート証明書の再度書き直し

これらの作業はあくまでも可能性としては0ではなかったため、してよかったとは思います。また、SHA2対応とかできているか見直せました。

英語のサイトでは有りますが、Qualys SSL LabsのSSL Server Testはサーバーの状態や脆弱性などを全てテストしてくれる素晴らしいウェブサイト・ツールです。万が一、不安に思うような事があれば使えば良いと思います。エラーに関しても英語では有りますが、全て教えてくれますし、重大な問題があれば英文で表示してくれます。

Author

Masaki Osugi

(フロントエンド&&インフラ&&ネットワーク&&Web)エンジニア兼デザイナもどき。気がついたら守備範囲広がり、何屋かよくわからない存在。