「StartSSL」タグアーカイブ

Zabbix 3.0 にクライアント認証だけでログインする

先の記事で Zabbix 3.0 のフロントエンドにクライアント認証を追加しました。
しかし先の記事にも書いたとおり、これだけではStartSSL でクライアント証明書を発行した人 (StartSSL を利用ユーザーなど) 全員を承認してしまいます。

そこで、クライアント証明書に記述されている情報を使って、特定の証明書の所有者だけを承認するようにします。
さらに、せっかくクライアント認証で個人を特定するのですから、その情報を使って Zabbix にログインまでできるようにもしましょう。

続きを読む Zabbix 3.0 にクライアント認証だけでログインする

Zabbix 3.0 にクライアント認証を追加

レンタル サーバーに Zabbix をインストールして使っているユーザーはかなり多いと思います。
筆者も他聞に漏れず、レンタル サーバーに Zabbix をインストールして使っています。
正確にはレンタル サーバーというよりも、レンタル VPS サーバーですが。

Zabbix にはログイン フォームがあり、ここにユーザー名と正しいパスワードを入力して初めて使えます。
ログイン フォームは Web アプリケーションにとっては基本ですが、ネットワーク越しにユーザー名とパスワードの組を送ることになるのが不安です。
そこで SSL 化 (HTTPS ) して、ログイン フォームの前後だけでも通信路を暗号化して、ユーザー名とパスワードが平文のまま送られないようにしたりもします。
しかし、SSL で通信路を暗号化しても総当たり攻撃には無力なままです。

そこで、クライアント証明書によるクライアント認証で、Zabbix の不正利用を防ごうと思います。

続きを読む Zabbix 3.0 にクライアント認証を追加

HTTPS を使うためのサーバー証明書を取得した

あれから 1 年以上経ってようやく重い腰を上げた。

何かと言うと、表題の通りサーバー証明書を取得して Web サイトを HTTPS に対応させるためだ。
当ブログ程度の内容ならわざわざ HTTPS 対応なんて手間をかけるほどでもないのだが、別の (非公開の) サイトのアクセス制限にクライアント認証を使うことにしたついでだったりする。

HTTPS に必要なサーバー証明書は StartSSL で取得したので、ここにそのときの手順を控えておく。

アーミーナイフ
続きを読む HTTPS を使うためのサーバー証明書を取得した

StartSSL で発行した証明書を更新

StartSSL から電子証明書を更新しろというメールが届いた。
以前に StartSSL で発行した電子証明書を確認すると、確かに有効期限まで後 2 週間ほどになっている。
この電子証明書は、「HTTPS を使うための電子証明書取得の前準備 (StartSSL へのユーザー登録)」を書く少し前に取得したものだ。
この記事で「Web サイトを HTTPS に対応させるため」とか書いたが、電子メール アドレスの正当性の証明書 (個人証明書) を取得しただけで、Web サイトの HTTPS 対応はほったらかしになっている気がする。

本来なら、個人証明書の更新案内と、Web サイトの正当性の証明書 (サーバー証明書) の更新案内がそれぞれの有効期限の 2 週間程度前に個別に届くらしい。
しかしながら、HTTPS 対応をほうったらかしにしている筆者の手元に届くのは、個人証明書の更新案内だけだ。

そうは言うものの、電子メールに S/MIME 署名を付けて送信するためにこの証明書を使っているため、更新せざるをえない。

続きを読む StartSSL で発行した証明書を更新

StartSSL からインストールされた電子証明書を電子メールの電子署名で使う

前々回の記事前回の記事で StartSSL からインストールされた電子証明書のバックアップを取った。
この電子証明書にはメール アドレスが記されており、そのメール アドレスの存在と所有 (到達性) を StartSSL によって保証されている。
このように、存在と到達性が保証されたメール アドレスが記された電子証明書は、個人証明書やクライアント証明書とも呼ばれている。

個人証明書というと、電子メールにつける電子署名とか暗号化メールに使うというイメージが浮かぶが、実は前々回の記事前回の記事でバックアップした電子証明書は、電子メールの電子署名や本文の暗号化に使うことができる。

ここでは Outlook 2013 で、この電子証明書を使ってメールに電子署名をつけるような設定をする。

続きを読む StartSSL からインストールされた電子証明書を電子メールの電子署名で使う