読者です 読者をやめる 読者になる 読者になる

組み立て人生

自分の生活をブロックの様に組み合わせて、より豊かな暮らしを目指しています。

作成したウェブサイトにラピッドSSLを導入(1)

とりあえず完成した自分の事業用HP(さくらVPSにあるApacheで管理されたウェブ)

しかし、このサイトを訪れた方のブラウザーでは危険なサイトとみなされます。そこで、セキュリティー企業からSSL証明書を発行してもらいます。

私が利用したのは、Gotrustが発行しているラピッドSSL

導入には秘密鍵CSRファイルが必要です。

(1)まず、さくらのサーバーにSSL(サービス)をインストー

(2)yum install mod_ssl 、コマンドラインに入力

(3)ディレクトリを作成、mkdir /etc/httpd/conf/ssl.csr/

(4)そして、ここに移動、cd /etc/httpd/conf/ssl.csr

(5)ここから大事です。秘密鍵を作成、下記をコマンド入力します。

openssl genrsa -des3 -out server.key 2048

RSA des3形式 2048ビットで、server.keyを作成しろという文章みたい。

(6)つぎにこの鍵でCSRファイルを作成、これも重要です。

openssl req -new -key server.key -out server.csr

新しいキーとしてserver.keyを使ってserver.csrCSRを作成してくれという意味。

この作成されたCSRを使い、ラピッドSSLの申し込みをします。

 

ここで、大問題が発生します。

このCSRの内容をジオトラストのHPにコピペする必要が出てきます。

しかし、このCSRを見る方法がわかりませんでした。

コマンドで下記のように書けば、出てくるので、必要箇所をマウスでコピーします。

openssl req -in server.csr -text 

これだけなのですが、ウェブにはあまり載っていません。

(server.csrが開きたいファイルです。)

 これを、ラピッドsslの申し込みページにコピペすると、

変換されて、SSL証明書要求が作られます。

しばらく待つとその証明会社から、証明書を送りましたというメールがきます。

そこで、さくらVPSのウェブへ戻りサーバー設定から、証明書ボタンをおして、ファイルをダウンロードし、先ほどのメールに記載の、自分のサーバー上の場所に、それをアップロードして置きます。

しばらく待つと、証明会社のロボットがこれを見つけ、OKを出し、

その後、さくらVPSのサーバー設定が、さきほどのボタンから、

サーバー証明書というボタンに変わり、それをダウンロードできます。

 つまり二段階認証で手に入れるのです。

また、中間証明書のダウンロード場所も、メールに書いてあり、

そこへ行って、ダウンロードします。

 

さて、

初めに作った秘密鍵sshで、自分のパソコンにダウンロードします。

これと、

サーバー・セキュリティー証明書

中間サーバー証明書

で、SSL設定が可能になります。

 

CSRファイルは一度SSL申し込みに作りますがその後、これは使いません。

しかし、これをもとに証明書が作成されるので、大事なファイルですが、

一度作成して作った証明書は、このCSRに対する証明書なので、

SSL導入に失敗して、再インストールして、再度CSRを作ってはいけません。一度CSRで申込して証明書をもらったら、もう二度と再びCSRは作成してはいけません。

自分の作った秘密鍵さえ大切に持っていたら、再インストールした真新しいサーバーでも、このサーバー証明書は使えます。

 

<まとめ>

秘密鍵を作り、開いてエディターにコピペして、保存し、PCに保存

この秘密鍵からCSRを作成し、申込して、サーバー・セキュリティー証明書を手に入れる。つまり、秘密鍵と証明書はペアになっています。

ジオトラストのラピッドSSL証明には、このほかに中間証明書が必要だが、これは、HPからコピペできる。

 

<あとがき>

ーーーーーーーーーーーーーーーー

導入には秘密鍵CSRファイルが必要です。

(1)まず、さくらのサーバーにSSL(サービス)をインストー

(2)yum install mod_ssl 、コマンドラインに入力

(3)ディレクトリを作成、mkdir /etc/httpd/conf/ssl.csr/

(4)そして、ここに移動、cd /etc/httpd/conf/ssl.csr

(5)ここから大事です。秘密鍵を作成、下記をコマンド入力します。

ーーーーーーーーーーーーーーーーー

このディレクトリ作成は、意味がありません。(この場所は必要がなくなるから)

実は鍵を作る場所は、/etc/httpd/conf/ssl.csr/

ではなく、/etc/piki/tls/private/に、server(自分のサーバー名でもOK).keyという名前で作成が便利です。

理由は、mod_sslで導入したときに作成された、コンフィグファイル、

/etc/httpd/conf.d/ssl.confに、この場所が書いてあるから。ここに鍵を作るべし。

そのほうが、書き間違えるリスクが少ないです。

*最後にこのファイルを書き換える!わけです。(ここ大事)

HTMLから始めました。

自分のウェブサーバーでApacheを動かして、

HTMLでなんとなく作りました。

しかし、かなり簡素な画面です。

そこで、CSSという言語で修飾します。

 これにPHPPythonで動的な要素を組み込むようです。

 HTMLはなんとなくわかってきました。

CSSはまだよくわかりません。

 (CSSカスケーディング・スタイル・シート)

見栄えのいいウェブには、HTML+CSSは必須だそうです。

 

解説:HTMLは厳格なウェブの内容を規定する言語なので、

これで、ウェブのスタイルも書くのはよくないそうです。

スタイルはHTML文書内にCSSで書いて挿入するのです。

つまり、別の場所にCSSで書いたファイルがいくつも階層上にあるのです。

 

専用のウェブサーバー稼働中

なんとか、素人でもさくらVPSでウェブサーバーを稼働させることができました。

 まだ、IPアドレス(極秘)を公開していないので、だれも来ませんが。

 

これからウェブ作成にはいります。

作成には、html文書を書く、これだけ。

 世の中的には、見栄えのいいウェブじゃないとアクセス数は増えません。

なので「ウェブ制作」を職業にしている方も大勢いるわけです。

 これにはCMSコンテンツマネジメントシステムが必要になります。

有名な無料CMSツールに「WordPress」があります。

これをサーバーにインストールして、

さらにデータベース機能も動かして、

、、、、。

??意味が不明なので、今日はこれまで。

 

解説:見栄えのいいウェブ作成にはCMSソフトが必要。

参考ページはこちら

 

ちょっとまとめます。

(1)レンタルサーバー、さくらVPSを借りた。

(2)Linuxをインストールした。

(3)なんとなくApacheを動かした。

(4)index.htmlを書いて置いた。

 約3週間でやったことはこれだけです。

今後、自分だけのHPを作成してみます。

 結局今は自分専用なので、WordPressの導入は保留し、

基本のhtmlを勉強することにした。

 

 

素人がさくらVPSにウェブサーバーを導入(7)

無事に自分のウェブサーバーを稼働させることができました。

ちなみに、html文書を作成するアプリは、

Windows10用「Mery」を使いました。

 

今現在IPアドレスを打ち込んで、自分のウェブを見ています。

名前を購入して付けると、

ネームとIPアドレスが紐づけされ、DNSに登録されるのです。

そこで、世界中の人がここを訪れてくれます。

 

注意点は、自分で作ったウェブは、不正アクセスで改ざんされたり、

情報を盗まれたりします。

 このようなウェブページはスマホでは表示されないこともある。

なので、セキュリティーを高める必要があります。

SSLサーバー証明書を付けることになります。

詳しくは、

改めて知ろう、SSLサーバー証明書とは? - さくらのナレッジ

を見てみてください。

 実はこの証明書発行期間に年間数万円支払うわけです。

 

昔はもっと高く数十万円したような気がします。

 

もっともその前に、自分のサイト自体の脆弱性を強化する必要があります。

私のウェブサーバーはまだ、それほど保護機能を高くしていません。

(だって、私がつながらなくなるから、、、)

CentOS7にはfirewalldというサービスが動いていますが。

(インストールして起動した)

現在、firewalldで私のサーバーの、

sshサービスとhttpサービスが守られているか確認します。

コンソールで下記を入力して確認。 

#firewall-cmd --list-all

でservice に、sshとhttp1があればOKです。

解説: 

firewall-cmdこのあいだにスペースはなし。

-cmd --の間にスペースはあり。

--list-allの間にスペースはなしです。

 

firewall-cmdというコマンドで、

--listを見たいが、-all(全部)見たいと命令しています。

--はーーです。(ハイフン2個)

 

 

素人がさくらVPSにウェブサーバーを導入(6)

さて、CentOS7を導入し、

sshで接続し、Apacheも起動し、自分のウェブサーバーも稼働し、

index.htmlも作成し、

あとは、これを、

サーバーの

/var/www/html

に置くだけ。

そう、置くだけなのです。

ところが、ここで最大の問題が発生します。

 

置けないのです、、、。

昔はFTPという転送ソフトを使ってました。

今は、暗号化された通信で転送する、sftpで送るんです。

??なんだこれ?状態です。

しかし、心配はいりません。

「RLogin」にはsftp機能がありました。

このソフトの解説は他の方のブログで見ていただくとして、

ファイル転送ボタン、場所指定、

右に転送先、左に元ファイルを指定、

あとがドラッグアンドドロップ

もしくは上部のアップロードボタンを押すだけ。

しかし、、転送を拒否されます。

なぜ、なぜ、。

調べますが、ネットで出てきません。

 

????

 

もっと調べました。

答えは:

なんと、サーバーの/var/www/htmlという場所(フォルダ)にありました。

 

この場所の所有権が、私になかったのです。

 

だから拒否されました。

 

教えてくれよ~~~!

 

そこで、sshからサーバーにコマンドを入れます。(suになってね)

#chown apche:******(自分のユーザーネーム) /var/ww/html

 

(/var/www/htmlの前にスペースを入れる)

Apacheさんと私に/var/www/htmlの所有権をあげますというコマンド

 

Apacheさんも持ってなかったのです!

この入力後、

「RLogin」で無事にindex.htmlが、

/var/www/htmlに転送されました。

 

 

 

素人がさくらVPSにウェブサーバーを導入(5)

sshクライアントソフト

「RLogin」で

接続サーバー名:なんでもいい

ユーザーネーム:サーバー名(IPアドレス

ユーザー:パスワード

 

を入れてssh、UFT-8にチェックして接続できましたか?

 

うまくいかないときは、IPアドレス、パスワード確認してください。

初めの一回だけ、公開鍵が作成されます。OKを押す。

(サーバーに鍵認証を設定しないので、軽くスルーします)

次回からは、この同じ接続先なら、接続ボタンでつながります。

 

次にいよいよウェブサーバーを稼働させます。

まず「Apache」をインストールします。

 

suでスーパーユーザーになり、

#yum -y install http(パッケージ名)

と入力

httpと入れると、勝手にApacheというパッケージがインストールされます。

パッケージとはサービスとインストール機能などがパックされたものです。

 

次に「Apache」を開始します。

#systemctl start http

 

これだけです。

自分のパソコンのブラウザーで、

hhtp://*****(IPアドレス

をいれると、CentOS7の画面:実はこれエラー画面が出ます。

まあ、表示されるからうまくいっているのです。

 

解説:/var/www/htmlにファイルを置いて初めてウェブが公開されます。

一発目はindex.htmlがないので、エラーになり、

エラー画面表示にcentOS7で用意された画面が出るのです。

 

このままだと私がCentOS7を使用してサーバーを構築したことが、

一目瞭然なので、急いでindex..htmlを作成します。

もう本当に急ぐので、Widowsのメモ帳で作ります。

 

HTMLの書き方は、少し理解していました。

 

----------------------------------------------------------

<html>

 <body>

   Hello World

 </body>

</html>

---------------------------------------------------------

これを、index.htmlというhtml拡張子で保存します。

 

text文章なんですが、保存末尾をhtmlに変えるだけで、いいのです。

 

 解説:

html文章は< *** >で始まります。

終わりは</***>、と/(スラッシュ)で必ず閉じこみます。

 

/var/www/html/について。

SFTPツールでログインした最初の位置は/home/vpsuserですので、ここから親ディレクトリへ2階層上がり、var → www → html とディレクトリを移動してください。

この場所に以下のindex.htmlを作成し、アップロードします。

素人がさくらVPSにウェブサーバーを導入(4)

sshクライアントソフト(アプリです)の話から始めます。

「RLogin」をネットで検索してダウンロード

このソフト、自分のパソコンのどこに置いていてもいい。

超お手軽ソフトでした。

私はタスクバーに(ショートカットを)ピン止めしています。

(圧縮ファイルを、そこで解凍して、アプリをダブルクリックで起動)

まず、設定画面がでます。

サーバー名称:さくらでもらった、アルファベットと数字の羅列をいれます。

(なんでもいいんでしょうが、、)

次に中段にある、ユーザー名、サーバーアドレスを入力

ポートをsshにして、(番号を入れるとうまくいきませんでした)

(/etc/ssh/sshd_configの設定でポート番号が#コメントオフになってるからかな)

下段にある、ユーザー名とパスワードを入れて、

パスワード認証するにチェック

そのあと接続ボタンを押します。

さらっと書きましたが、サーバーの設定で、

(viでetc/ssh/sshd_configを書き換えた)

パスワード認証チェックをyesにしているので、

このようにパスワード入力で入るのですが、もしnoにしたら、

公開鍵・秘密鍵を作成、鍵認証設定をする必要があります。

(私は、無視、だって、重要なサーバーじゃないから、、)

ルートだけはブロックしています。

----------------------------------------------------------------------------

またsshで接続する前提として、(本当は先にすること)

CentOS7に自分のユーザーネームとパスワードを作り、

それをwheelグループに入れておくことが重要です。

(決してsshにroot管理者権限で入らないように、

もう一人違うパスワードを持った、ユーザーを作ります。)

wheelグループとは、スーパーユーザーになれる人のグループです。

 (vi でwheelグループにsuの権限を許可としたような、)

(#vi sudoと入力して、出たファイルをコメントオフするのです。

#%wheel ALL <ALL>の#を削除する。だけなんだけど、、。

これ、危険なので、一般的には勧められいません)

(もちろんviを熟知して慎重にすればいい)

では、初めからやってみます。

まず、ユーザーを作って、パスワード設定、

wheelグループに入れるには、下記のようにします。

# useradd  ***(自分のユーザーネーム)

#passwd  ***(好みのパスワード):また聞かれるので***だけ入力

#usermod -G wheel ***(自分のユーザーネーム)

 (うまくいくと、CentOS7のコンソールは、無反応です!)

(結構そっけない反応します)

 さて、ここまでは、ウェブのさくらコントロールパネルのコンソールでします。

------------------------------------------------------------------------------------------

 

このあと、いよいよ「RLogin」で入るのですが、

そもそも、

<ユーザーネーム > <サーバーネーム>

 

って何?でした。

 

<ユーザーネーム>は自分で作成した自分の名前

<サーバーネーム>って何?

ネットで検索するとよく

username@example.coって書いてます。

@はサーバーですよという記号

つまり、example.comというサーバーの<自分:ユーザー>さんでつなぐということ。

exampleって何だよ~~~。と思っていたら、

自分のサーバーの名前なんですね。

しかも、まだ、名前付いてなし、(購入してないし)

じつは、ここ、さくらでもらった、IPアドレスなんです。

IPアドレスに名前がまだ付いてないので、

IPアドレスを入力すればいいんです。

(まあ世界に公開しないなら、名前:表札なしでもいいわけです。)