.
セキュリティ / SSL => OpenSSLについて > 3.SSL/TLS導入の目的について
Linux 活用ガイド:目次

サーバ構築ガイド

レンタル ガイド

ショップ 構築ガイド

情報漏洩対策

SSL/TLS導入の目的について

ここでは限られた組織内での利用を目的としており、不特定多数に提供するサービスでの利用を推奨している訳ではありません。また、いくら通信経路を暗号化した所で利用者のリテラシーが低ければクライアント側の不備により外部からの不正進入を許すことにもつながります。

通信経路を暗号化した所で、キーロガーや Winny などの P2P ソフトで認証コードに関する情報が流出すれば意味がなく、通信経路の盗聴という可能性の一つを減らすに過ぎません。

このサイトで紹介しているSSLサーバー導入目的

このサイトで紹介しているSSLサーバー構築の導入目的は以下のとおりです。

  1. メールサーバー構築
    メール送信、受信における認証、経路のSSL暗号化保護、自動ログ監視と警告メール送信の保護。
    1. Sendmai-8.10~8.12
      参照 => Sendmail-8.12でSTARTTLSを有効にする
      参照 => Qpopper4のSSL化
  2. Webサーバー構築
    phpMyAdminやサーバーログ監視システム、ネットワーク監視システム等、ブラウザを利用したシステム制御、監視ディレクトリへサーバー管理者のみが安全に接続を行うためのクライアント認証の導入。
    1. Apache1.3系 (2系ではクライアント認証の設定が若干変更)
      参照 => SSLでセキュアなウェブサーバーを構築する
  3. S/MIME暗号化メールの利用
    メールそのものをSSL暗号化によりカギを持つ当事者のみがメールを読めるようにS/MIME暗号化メールのために利用。
    1. for Outlook
      参照 => S/MIME暗号化メールを使う-S/MIME MAILとは
  4. FTPサーバー構築
    経路、認証の暗号化保護によるセキュアFTPサーバーの構築。
    1. proFTPD
      参照 => セキュアなFTPサーバーを構築する

S/MIME暗号化メールの利用 に関しては1,2の経路の暗号化とは性格が異ります。メールそのものを暗号化するために必要な証明書をCAで用意し、 S/MIMEメールを行いたい特定のユーザーに提供しようというものです。メールそのものの暗号化が目的であるため、経路が暗号化されていてもいなくても 関係がありません。

SSLサーバー構築に共通する流れ

OpenSSLのインストールについては省略します。LinuxにOpenSSLが既にインストールされていることを前提とします。

OpenSSLコマンドの詳細
OpenSSL日本語サイト: Documents, Misc

SSLサーバー化の要点

  • 自己証明型証明書の作成作業
  • CA(認証局)の立ち上げ作業(複数のCAを立ち上げも可)
  • サーバー証明書の発行作業
  • ユーザー証明書の作成

同一ホストでOpenSSLを操作する場合、すなわち、サーバーとCA局が同一ホストである場合、今、自分が誰の立場でOpenSSLを操作しているのか理解した上で作業を行う必要があります。

  • CA局の管理者
  • サーバー管理者(MAIL,WEB)
  • ユーザー

MAILサーバー、WEBサーバーでSSL暗号路を確立したい場合、これらOpenSSLで行う処理は全て共通しています。つまり、SSL暗号化に必要な目的にあったサーバー証明書を用意すれば良いことになります。

bottom_mark
ページ最上部
ページ最上部 前のページ