自前サーバを立ち上げるまで OS X Server 10.8(5)


今回は、最終回OS X Server(Mountain Lion 10.8.2)の設定といっても、設定は簡単です。が、しかし、詳細設定出来ません。OS X Serverが勝手にやってしまいます。それもうまく出来れば良いのですが、うまく出来ません。今回の説明は、ドメイン認証のSSL証明書取得先:EcoCert(エコサート)設定を書きます。

先ず書いておきますが、OS X ServerソフトからのEcoCert(エコサート)の証明書取得は出来ません。「ターミナル」を使ってローカルでまたは ssh を使ってリモートで、サーバにルートとしてログインしてcsr.txt ファイルと言う書類をつくりEcoCert(エコサート)Webサイトの画面にペーストしなければなりません。
では、サーバにルートとしてログインするための設定を説明します。(色々な人たちがWebサイトで説明していると思いますが)



システム環境設定でユーザとグループを選択し、ログインオプションをクリック、鍵をクリックしてパスワード入力して、接続をクリックすると次の画面になります。



ディレクトリユーティリティを開くをクリックすると、また次の画面になります。



画面の鍵をクリックしパスワード入力し、メニューバーの編集をプルダウンしてルートユーザを有効にするを選択して、ルートユーザとしてログインするためのパスワードを設定します。これでルートユーザとしてログイン出来ますが、その前に、OS X Serverでメールサーバを立ち上げていると思いますが、Mailソフトで、管理者名「admin」アカウントを作っておきます。EcoCert(エコサート)・Comodoの返信メールがこのアカウントに送られてくるからです。



ルートでパスワード入力して、ルート画面になっているとして説明しします。
「ターミナル」を起動します。この後は参照ページ「Mac OS X 10.6 Server Admin: 外部の認証局から取得した SSL 証明書を使用する 」通りに入力して行きます。参照ページはMac OS X 10.6 Serverなのでニュアンスがちょっと違っているところがありますが、csr.txt ファイルの作成までいけたと思います。「キーチェーンアクセス」ソフトのキーチェーン項目に「certkc」が出来ていて、その中に「OK」と言う秘密鍵が出来ています。この秘密鍵の中身がcsr.txt ファイルです。このcsr.txtをEcoCert(エコサート)に送ると秘密鍵に合う証明書が送られてくる仕組みです。「csr.txt ファイル」は何処にあるかと言うと、/private/var/root/Library/Keychains/にあります。privateは不可視ファイルなので、このブログでたびたび取り上げている「TinkerTool」を使って不可視ファイルを可視化します。csr.txt ファイルをディスクトップにコピーします。ここまで出来たらEcoCert(エコサート) に行き、先ずはトライアル版30日間無料で試してみる。



下記の画面になるので、先ほどディスクトップに保存したcsr.txt ファイルをテキストエディットで開いて、コピー&ペースト、種類は、Apache/ModSSLで良いと思います。



後は、EcoCert(エコサート)の指示に従って、記入して下さい。「admin」のアカウントの所に、Comodo Seurity Servicesからメールが届きます。そのメールの指示に従って、Comodoのページに行き、メールに付いて来たコードをコピー&ペーストして、しばらく待ちます。今度は、先にEcoCert(エコサート)の指示で入力した管理者メールアドレスにメールが届きます。メール中には、zipファイルとcsr.txt ファイルに似た文字の羅列が送られて来ます。この文字の羅列をテキストエディットにコピーするのですが、テキストエディットの環境設定で標準テキストにチェックを入れておいて下さい。テキストエディットにコピーすると行の末尾にスペースが付くので、それを削除します。「Mac OS X 10.6 Server Admin: 外部の認証局から取得した SSL 証明書を使用する 」の後半部分、最後から3行目、「証明書を受け取ったらの部分からです。送られきた文字の羅列をテキストエディットでsslcert.txtと名前を付けてディスクトップに保存します。(まだルート画面にいるとします)ルート画面にいない場合は、ルート画面にもどって、ルート画面のディスクトップに保存します。「Mac OS X 10.6 Server Admin: 外部の認証局から取得した SSL 証明書を使用する 」の指示に従って、ターミナルで二つのコマンドを入力して、...certificate successfully imported. が出れば成功です。「キーチェーンアクセス」ソフトのキーチェーン項目「certkc」に証明書が出来ているはずです。



秘密鍵と証明書をシステム・キーチェーンにオブションキーを押しながらドラックします。(失敗する可能性があるのでcertkc・キーチェーンに残しておきたいからです。)管理者パスワード・certkcのパスワードを入力してシステム・キーチェーンに移動させます。システム・キーチェーン開いて見ると、証明書の前に▶マークついて、それをクリックすると▼になり秘密鍵付いていれば成功です。ルート画面から出ます。成功した秘密鍵と証明書を念のために書き出しておきます。



証明書を選択して右クリックし、証明書を書き出すを選択、



証明書.cerと証明書.p12を書き出し保存しておきます。何か問題があった時に証明書と秘密鍵をふたたびつくる事が出来ます。
送られて来たzip書類を解凍すると、www_example_com.ca-bundleとwww_example_com.crtが出来ています。この二つを「キーチェーンアクセス」ソフトで開きます。www_example_com.ca-bundle書類は、キーチェーンアクセスが推奨アプリケーションではないので強制的にキーチェーンアクセスを選択して開かせます。下記の中間認証局とキーチェーン・システムルートにAddTrust External CA Rootが出来ます。



EcoCert(エコサート)の担当者とのやり取りの中で、www_example_com.ca-bundle書類を開くと、中間認証局とルート認証局が出来なければならないと言われました。どうしても
ルート認証局が出来ないので、OS X ServerのOpen Directoryの設定など色々いじっていると、偶然、ルート認証局がキーチェーンアクセスに出来ていました。
次の場所で動作確認チェックをします。証明書のインストール方法-格安 SSLサーバー証明書 COMODOの証明書が1890円-年~ ルート認証局がないとチェックがOKになりません。



色々いじったおかげで、OS X Serverが壊れてしまい、Serverを初期化して、もう一度OS X Serverソフトを入れ直しました。EcoCertからもらった証明書と偶然出来たルート認証局は、証明書.cerと証明書.p12を書き出し保存しておいたので再現する事が出来ました。しかし、これではルート認証局の期限が切れた時にどうすれば良いのか分かりません。まぐれで出来たルート認証局ではしょうがないです。「キーチェーンアクセス」ソフトを使ってルート認証局をつくる事にしました。(rootでログインして設定した方が良いかもしれません。)



キーチェーンアクセスでシステム・キーチェーンにあるwww.example.comを選択し、メニューバーからキーチェーンアクセス・証明書アシスタント・認証局作成を選択します。下記の画面が出ます。



うまく出来ると思えば、このCAをデフォルトにするにチェックしておいた方が良いです。後々このCAが勝手に証明書をつくってくれたりします。もしデフォルトしたCAが良くなければ、~/ライブラリ/Application Support/Certficate Authority/にいって作ったCAのフォルダを削除します。
画面のようにチェック・選択をします。続けて設定をします。なかなかうまくいかないはずです。自己責任で試してみて下さい。
参考として、下記の偶然出来たルート証明局の設定を載せておきます。



証明書設定は、OS X Server(Mountain Lion 10.8.2)のバグと言ってよいほどだと思います。OS X Serverの設定については、設定画面の通りに、[1.ネットワークの構成 2.ユーザを追加 3.証明書を確認]と順番通りに設定した方が良いです。外部認証をするならOpen Directory・プロファイルマネージャを入りにしてはいけません。



Open Directoryを入りにすると、勝手にデフォルトの中間認証局を作ってしまい証明書を発行します。デフォルトCAなので強制力があり、外部認証の設定の邪魔をします。
OS X Server(Mountain Lion 10.8.2)ソフトは簡単で良いソフトなのですが、証明書の設定には問題があります。

Posted: 日 - 2月 24, 2013 at 07:41 午前          


©