「moodle.orgのSSL証明書」の版間の差分
Mitsuhiro Yoshida (トーク | 投稿記録) |
Mitsuhiro Yoshida (トーク | 投稿記録) 編集の要約なし |
||
| (同じ利用者による、間の16版が非表示) | |||
| 1行目: | 1行目: | ||
{{セキュリティ}} | {{セキュリティ}} | ||
== 概要 Synopsis == | == 概要 Synopsis == | ||
'''注意: このドキュメントは2013年4月11日に更新されました - MoodleはGeoTrust認証局に移行しました。 | '''注意: このドキュメントは2013年4月11日に更新されました - MoodleはGeoTrust認証局に移行しました。 | ||
あなたが管理者として[[通知|利用可能な更新を確認]]または[[自動更新適用|更新をインストール]]する場合、あなたのMoodleサイトはmoodle.orgとコミュニケーションできる必要があります。このコミュニケーションはセキュアHTTPSプロトコル経由で実現されます。あなたのMoodleサイトはmoodle.orgのSSL証明書を検証して (例 [https://moodle.org/plugins Moodle plugins directory]) 、その身元を確認 (verifies its identity) します。この検証に合格するためには、あなたのサーバにインストールされたmoodle.orgの証明書を発行した [http://ja.wikipedia.org/wiki/%E8%AA%8D%E8%A8%BC%E5%B1%80 認証局 (certificate authority (CA))]の証明書 (PEMフォーマット) が必要です。 | |||
moodle.orgのSSL証明書は[http://www.geotrust.com/resources/root-certificates/ 認証局GeoTrust]によって発行されました。 | moodle.orgのSSL証明書は[http://www.geotrust.com/resources/root-certificates/ 認証局GeoTrust]によって発行されました。 | ||
| 12行目: | 10行目: | ||
== 問題 Problem == | == 問題 Problem == | ||
CA証明書がない場合、リモートサイト (moodle.org) を確認することができないため、あなたのMoodleサイトは (man-in-the-middle attack - 中間者攻撃からあなたを守るため) | CA証明書がない場合、リモートサイト (moodle.org) を確認することができないため、あなたのMoodleサイトは (man-in-the-middle attack - 中間者攻撃からあなたを守るため) データ取得を拒否します。証明書の実際の場所に関して、あなたのサーバのOSタイプおよび他の設定に依存します。例えば、Linuxサーバの場合、次の場所にあります: /usr/share/ca-certificates/mozilla/GeoTrust_Primary_Certification_Authority.crt | ||
CA証明書がない場合、利用可能な更新のチェックおよびンストールに関して、エラーが発生することになります。 | CA証明書がない場合、利用可能な更新のチェックおよびンストールに関して、エラーが発生することになります。 | ||
| 20行目: | 18行目: | ||
=== あなたのオペレーティングシステムをアップデートする (推奨) === | === あなたのオペレーティングシステムをアップデートする (推奨) === | ||
この問題を解決する推奨方法は一般的な認証局のSSL証明書を含むようあなたのサーバのオペレーティングシステムをアップデートすることです。しかし、この方法ではWindowsサーバの問題を解決することはできません。Windowsにおいて、PHP付属のcURLライブラリはOSにインストールされているCA証明書を使用しないため、あなたは下記の異なる解決方法が必要です。 | |||
DebianおよびRedHatベースのディストリビューションではCA証明書は「ca-certificates」パッケージに同梱されます。Gentooサーバでは"app-misc/ca-certificates" ebuild経由で提供されます。あなたのサーバにおいて、OpenSSLライブラリ (libssl) およびcURLライブラリ (libcurl) が最新バージョンであることを確認することも良い考えです。 | |||
=== 手動で認証局証明書 (CA certificate) を提供する Provide the CA certificate manually === | === 手動で認証局証明書 (CA certificate) を提供する Provide the CA certificate manually === | ||
オペレーティングシステムの更新があなたの選択肢ではない場合、またはサーバ管理者がサーバの認証局証明書 (CA certificate) の更新を適切な理由なしに拒否している場合、またはWindowsサーバのようにオペレーティングシステムにインストールされている認証局証明書 (CA certificate) の更新が問題解決に至らない場合、可能な次善策は [http://curl.haxx.se/ca/ cURL]サイトから一連の必須証明書をダウンロードすることです。ファイル「[http://curl.haxx.se/ca/cacert.pem cacert.pem] 」をダウンロードして、あなたの「moodledata/moodleorgca.crt」ファイルとして配置する必要があります(例 cacert.pemファイルをダウンロードして、moodleorgca. | オペレーティングシステムの更新があなたの選択肢ではない場合、またはサーバ管理者がサーバの認証局証明書 (CA certificate) の更新を適切な理由なしに拒否している場合、またはWindowsサーバのようにオペレーティングシステムにインストールされている認証局証明書 (CA certificate) の更新が問題解決に至らない場合、可能な次善策は[http://curl.haxx.se/ca/ cURL]サイトから一連の必須証明書をダウンロードすることです。ファイル「[http://curl.haxx.se/ca/cacert.pem cacert.pem] 」をダウンロードして、あなたの「moodledata/moodleorgca.crt」ファイルとして配置する必要があります(例 cacert.pemファイルをダウンロードして、moodleorgca.crtにリネームした後、あなたのmoodledataディレクトリにアップロードします)。このファイルがmoodledata内に存在する場合、Moodleはオペレーティングシステムから提供される証明書の代わりに使います。 | ||
あなたのサーバのオペレーティングシステムに対して、上記のように認証局証明書 (CA certificate) | あなたのサーバのオペレーティングシステムに対して、上記のように認証局証明書 (CA certificate) を持つことは推奨の解決方法であることを強調すべきです。 moodleorgca.crtベースの解決方法は一時的な対処方法であると考えてください (Windowsサーバでは唯一の解決方法ではありますが)。 | ||
代わりにあなたの新ステムにダウンロードしてインストールすることのできるルート証明書をここから入手することができます: [http://www.geotrust.com/resources/root_certificates/certificates/GeoTrust_Primary_CA.pem GeoTrust Primary CA] | |||
[http://www.geotrust.com/resources/root_certificates/certificates/GeoTrust_Primary_CA.pem GeoTrust Primary CA] | |||
[[en:SSL_certificate_for_moodle.org]] | [[en:SSL_certificate_for_moodle.org]] | ||
2015年6月8日 (月) 15:24時点における最新版
概要 Synopsis
注意: このドキュメントは2013年4月11日に更新されました - MoodleはGeoTrust認証局に移行しました。
あなたが管理者として利用可能な更新を確認または更新をインストールする場合、あなたのMoodleサイトはmoodle.orgとコミュニケーションできる必要があります。このコミュニケーションはセキュアHTTPSプロトコル経由で実現されます。あなたのMoodleサイトはmoodle.orgのSSL証明書を検証して (例 Moodle plugins directory) 、その身元を確認 (verifies its identity) します。この検証に合格するためには、あなたのサーバにインストールされたmoodle.orgの証明書を発行した 認証局 (certificate authority (CA))の証明書 (PEMフォーマット) が必要です。
moodle.orgのSSL証明書は認証局GeoTrustによって発行されました。
問題 Problem
CA証明書がない場合、リモートサイト (moodle.org) を確認することができないため、あなたのMoodleサイトは (man-in-the-middle attack - 中間者攻撃からあなたを守るため) データ取得を拒否します。証明書の実際の場所に関して、あなたのサーバのOSタイプおよび他の設定に依存します。例えば、Linuxサーバの場合、次の場所にあります: /usr/share/ca-certificates/mozilla/GeoTrust_Primary_Certification_Authority.crt
CA証明書がない場合、利用可能な更新のチェックおよびンストールに関して、エラーが発生することになります。
解決策 Solutions
あなたのオペレーティングシステムをアップデートする (推奨)
この問題を解決する推奨方法は一般的な認証局のSSL証明書を含むようあなたのサーバのオペレーティングシステムをアップデートすることです。しかし、この方法ではWindowsサーバの問題を解決することはできません。Windowsにおいて、PHP付属のcURLライブラリはOSにインストールされているCA証明書を使用しないため、あなたは下記の異なる解決方法が必要です。
DebianおよびRedHatベースのディストリビューションではCA証明書は「ca-certificates」パッケージに同梱されます。Gentooサーバでは"app-misc/ca-certificates" ebuild経由で提供されます。あなたのサーバにおいて、OpenSSLライブラリ (libssl) およびcURLライブラリ (libcurl) が最新バージョンであることを確認することも良い考えです。
手動で認証局証明書 (CA certificate) を提供する Provide the CA certificate manually
オペレーティングシステムの更新があなたの選択肢ではない場合、またはサーバ管理者がサーバの認証局証明書 (CA certificate) の更新を適切な理由なしに拒否している場合、またはWindowsサーバのようにオペレーティングシステムにインストールされている認証局証明書 (CA certificate) の更新が問題解決に至らない場合、可能な次善策はcURLサイトから一連の必須証明書をダウンロードすることです。ファイル「cacert.pem 」をダウンロードして、あなたの「moodledata/moodleorgca.crt」ファイルとして配置する必要があります(例 cacert.pemファイルをダウンロードして、moodleorgca.crtにリネームした後、あなたのmoodledataディレクトリにアップロードします)。このファイルがmoodledata内に存在する場合、Moodleはオペレーティングシステムから提供される証明書の代わりに使います。
あなたのサーバのオペレーティングシステムに対して、上記のように認証局証明書 (CA certificate) を持つことは推奨の解決方法であることを強調すべきです。 moodleorgca.crtベースの解決方法は一時的な対処方法であると考えてください (Windowsサーバでは唯一の解決方法ではありますが)。
代わりにあなたの新ステムにダウンロードしてインストールすることのできるルート証明書をここから入手することができます: GeoTrust Primary CA
