質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.47%

  • SSH

    568questions

    SSH(Secure Shell)は、セキュアチャネルを通してデータを交換するためのネットワークプロトコルです。リモートサーバーへのコマンド実行やファイル転送を行う時に一般的に使用されます。

  • SSL

    518questions

    SSL(Secure Sockets Layer)とは、暗号化されたプロトコルで、インターネット上での通信セキュリティを提供しています。

SSL秘密鍵を更新したいが、MacターミナルのSSH接続がつながらない…

解決済

回答 2

投稿

  • 評価
  • クリップ 0
  • VIEW 1,916

kapimako

score 40

お世話になります。
さくらVPS、SSH接続、コマンドライン初心者です。当方はWeb更新担当ですが、サーバ管理者と連絡がつかずSSL更新が迫ってきて焦っています。勉強不足で申し訳ないのですがどたなかご教示お願いできますでしょうか。

Rapid-SSLを利用し更新の申込み迄は済みました(CSRを申込みフォームに入力)。
この後、おそらく「さくらVPS」サーバに秘密鍵をインストールする手順になるかと思います。
よくわかってないのですが…
MACターミナルで以下パスワードを入れると、アクセス拒否されます。(公開鍵がどうとか…)
root@ipアドレス
初期パスワード
公開鍵しかSSH接続は受け付けない。ような設定がされているような気がします。
サーバに接続できないとSSLのインストールが出来ないような気がします。
新規インストールの方法はインターネットで調べると出てきますが、ターミナル(コマンドライン?)を使っているようです。更新もきっとそうなのだと思っています。

ちなみに、WEBの更新はTeraTermで行っており、サーバに接続しようとしてるのは今回初めてです。

試しにroot@をsuに変えてみたりしてもダメでした。
当方の場合、サーバにSSLをインストールするにはどのような方法がありますでしょうか?
また、こうゆう文献やサイトを見ると分かる。でもよいですので、どなたかご教示お願いできますでしょうか。よろしくお願いいたします。



  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 2

checkベストアンサー

0

いくつか補足します。
SSHとSSLを混同していませんか?
おおまかに説明するので若干違う部分はあるかもしれませんが、
SSLは不特定多数のユーザーがサーバーのwebページ等にアクセスする際のセキュリティとして便利なもので、
sshはサーバー管理者等、特定のユーザーがFTP的なことをする際に便利なものです。

サーバー管理者と連絡がつかず、
さくらVPS登録時に送られてきたメールからrootの初期パスワードを得たんだと推測します。
ですが、そもそも不特定多数のPCからパスワードでrootにアクセスできるというのは
とても危険な状態です。
なので(VPSから見て)外部PCから接続する際にはssh接続をするのが一般的です。

kapimakoさんの置かれてる状況は以下の二つのどちらかだと推測します。
①外部PCからroot権限のパスワード承認によるログインは無効、
外部PCからssh接続によるログインは可能、
さくらVPSコントロールパネルからのroot権限パスワード承認によるログインは可能。
teratermでSSHによる接続設定する
かつて使われていた秘密鍵を頑張って見つけ出してください。
※さらに、秘密鍵にパスワードがかかってるケースがほとんどです。
②SSH接続によるroot権限によるログインすら無効、
もしくは秘密鍵紛失、秘密鍵のパスワード紛失
⇒さくらVPSコントロールパネルから「一時的に外部からroot権限によるパスワード承認を有効化」を”コマンドラインを駆使して”設定するといいと思います。
・・・コマンドラインって慣れてないとしんどいですよね。。。
このページはroot権限によるSTEP3の4番辺りを参考にしながら、設定を一時的に解除するといいと思います。
※用事が済んだら必ず元に戻しましょう。。。個人情報や機密情報流出の危険性が高い状態なので。。。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2015/02/25 16:31

    コメントを投稿するつもりが間違えて回答を投稿してしまいました。すみません。。

    キャンセル

  • 2015/02/27 06:20

    mankanさま
    お返事が遅くなりましてすみません。m(_ _)m
    当方の置かれている状況は上記①だと思います。が、②のリンク先のページも見ました。何かヒントがありそうに思いました。これから、じっくり調べて作業したいと思います。
    お忙しい中、丁寧なご教示に感謝いたします。当方焦っている状況の中、お気遣いいただいたコメントにもパワーをもらいました!!!ありがとうございました!!!m(_ _)m
    状況が進展しましたらまたコメントさせていただきたいと思います。よろしくお願いいたします。

    キャンセル

  • 2015/02/27 10:16

    私も文章組み立てながら復習として勉強させていただいてます(*ノωノ)
    お仕事内容が重なる部分があるのでお力になれれば幸いです(`・ω・´)
    FTP的なところまであと一歩です
    秘密鍵と秘密鍵用のパスワードが見つからなかったら知らせてください(*´ω`*)

    キャンセル

  • 2015/02/28 13:21

    teratermを使ったことが無かったので、試してみたのですが、
    FFFTPのような使用感を求めるならば、winSCPというソフトの方がいいかもしれません。
    http://winscp.net/eng/docs/lang:jp

    キャンセル

  • 2015/03/02 08:21

    mankanさま
    お世話になります。少し分かったことがありました。
    windows環境のteratermでssh接続は出来ていたので、ルート権限にしようとした所…
    ①不正なパスワードと言われてしまった。
    [ユーザ名@さくらVPSの契約URL:~ ]$ su -
    パスワード:
    su: incorrect password

    ②ssl.confでファイルを探してみた。
    $ find / -name ssl.conf
    許可がありません。と殆どのディレクトリで言われたが、以下のみ検索できました。
    /etc/httpd/conf.d/ssl.conf
    /etc/httpd/conf/httpd.conf

    ③WinSCPで上記.confファイルの更新日が古い事がわかりましたが、設定ファイルのようなので、中身を見た所下記ファイルの更新日が去年で中身がまさにそうでした。
    SSLCertificateFile /etc/pki/tls/certs/任意のファイル名.crt
    SSLCertificateKeyFile /etc/pki/tls/certs/任意のファイル名.key

    ④中間証明書らしきもの.crtの更新日が古いので③だけ毎年更新していたのかもしれません。
    おそらく、WinSCPのFTP転送(ファイルの差し替え)でいけそうな気がしてきましたが、バックアップを取りつつ、もう少し調べてみて試してみたいと思います。

    mankanさまのご教示により、少し先に進めました!!ありがとうございました。
    一応、以下サイトを参考にしつつファイルの作成をしたいと思います。
    (これも結構当方にとってはどっちがcrtで何がkeyファイルなのかまだ分かっていません。。じっくり読みたいと思います。)
    また、分かりましたら報告させていただきたいと思います。
    お忙しい中、ご教示いただいて本当に心強く思います。ありがとうございます。
    引き続きどうぞ、よろしくお願いいたします。m(_ _)m
    https://www.jp.websecurity.symantec.com/ssl/help/videos/sidinstall.html#installmovie02
    http://fuminori14.hatenablog.com/entry/20120930/1348985830
    因みに、windows環境でvi使ったことありますか?自分はまだ入れてないのですが、MACの方が何かと便利なんでしょうかね。。。

    キャンセル

  • 2015/03/02 13:49

    お疲れ様です!
    ②~④
    SSLに関してはkapimakoさんより浅い知識しかないため、私ではお力になれません。すみません。。。
    SSL関連でつまづいた際は、ここだと回答がつきにくい気がするので別個で質問を立てた方がいいかもしれません。

    ①おそらく現在のrootのパスワードを紛失されてるのではないでしょうか?
    "さくらVPSのコントロールパネル"にログインするためのパスワードとまた別のパスワードになります。
    現在のrootパスワードはさくらVPSの窓口も把握してないはずなので、問い合わせても、「バックアップ取ってOS再インストールしてください」と言われると思います。
    前任者が残した手がかりを漁っても見つからなければ・・・・
    私も「バックアップ取ってOS再インストール」以外に手段が思いつきません・・・
    現在アクセスできる範囲でSSL更新できることを祈るばかりです

    Linuxではファイルとフォルダごとにアクセス権が設定されています。
    http://begi.net/read/operation/10.html
    要は、サーバーの根幹部分はroot権限でないと書き込みどころか読み込みもできないファイルやディレクトリがあります。

    viに関して、
    windows環境にて使ったことはありますが、PCにインストールしたことはありません。
    さくらVPSのコントロールパネルのなかに コンソール なるものがあります。
    そのコンソールからもコマンド実行できるのですが、その際にviを使用しています。
    viは、私にとっては「コマンドで操作する環境でも使えるテキストディタ」だと認識しています。
    文字コードをUTF-8にする点さえ気をつければ、windowsの普通のエディタで書いてwinSCPでアップロードがいいと思います。
    ただ、winSCPはsuコマンドが使えません。そこでviが出てくるのです。
    MACの方が便利かどうかについてはよくわかりません。

    windows⇒macへの代替アプリ
    http://a-tak.com/blog/2011/09/20/mac-work-part2/


    ・・・話をだいぶ遡って、macでSSH接続する方法なのですが、
    WEB業務で普段使用しているTERATERMので接続している際の
    ユーザー名とパスワード及びSSH秘密鍵等でmacからSSH接続はできてますか?
    RSA/DSA(中略)鍵を使うにチェックが入ってたりしませんか?
    設定→SSH承認 の項目もご覧ください

    キャンセル

  • 2015/03/07 23:43

    mankanさま!
    お世話になります。SSL更新できましたーーーー!!!
    ルート権限のパスワードを入手でき、先程なんとか更新できました。
    色々調べていたので、だいぶ返信が遅くなましたが、mankanさまのご教示と励ましのお蔭だと思っています。本当にありがとうございました!!!!
    一応行った手順は…
    ①TeraTermでWeb更新と同じ秘密鍵のSSH接続で入り、root権限に変更
    [ユーザ名@〇〇〇.sakura.ne.jp:~ ]$ su -
    パスワード:×××

    ②server.crt(SSLサーバ証明書)のバックアップを取ってviで編集
    [root@〇〇〇.sakura.ne.jp:~ ]# cd /etc/pki/tls/certs
    [root@〇〇〇.sakura.ne.jp:~ ]# cp server.crt server.crt.2014
    [root@〇〇〇.sakura.ne.jp:certs ]# vi server.crt
    (Rapid-SSLから来ていたメールの内容をコピペ→ESC→末行:wpで保存終了)

    ③server.key(CSR生成時に作成した秘密鍵ファイル)のバックアップを取ってviで編集
    --②と同じ(ファイル名 server.key に変更して同じ処理)

    ④キーペア②と③の組合せが正しいか確認 ※が同じであればOK(---は省略しました)
    [root@〇〇〇.sakura.ne.jp:certs ]# openssl x509 -noout -modulus -in server.crt | openssl md5
    ddedd-----------------------------2 ※
    [root@〇〇〇.sakura.ne.jp:certs ]# openssl rsa -noout -modulus -in server.key | openssl md5
    ddedd-----------------------------2 ※

    【補足】④でキーペアの組合せが正しくないと、Apacheの再起動に失敗します。
    自分は失敗した時、エラーの内容が出なかったので、原因が分からずサイトに繋がらず焦りましたが、ファイルのバックアップを取ってあったので元に戻しました。(コピーファイルでバックアップファイル名から元のファイル名に戻しました。)
    中間証明書は前任者が更新してなかったので後で様子見ようと思い先にApacheの再起動をしました。

    ⑤Apacheの再起動
    [root@〇〇〇.sakura.ne.jp:certs ]# /etc/rc.d/init.d/httpd restart
    httpd を停止中: [ OK ]
    httpd を起動中: [ OK ]

    【補足】本当は、一度Apacheの再起動に失敗しているので、停止中の所が既に停止されているので、OKの所が失敗になっていました。

    ⑥SSL証明書インストールチェッカーで確認
    https://ssltools.geotrust.com/checker/views/certCheck.jsp
    任意のサイトのhttps://www.〇〇〇.comを入れてチェックしたら、
    「中間証明書」がない。と警告が出ていました。

    【補足】ちなみに、FireFoxでサイトにアクセスすると「接続の安全性を確認できません」と書かれていました。

    ⑦中間証明書(クロスルート用)をダウンロード
    https://knowledge.rapidssl.com/support/ssl-certificate-support/index?page=content&id=AR1548
    RSA SHA-2(最新の規格?) の CA Bundle(多分UNIX系、Open-SSL用)をダウンロード
    ⑧中間証明書(クロスルート用)をインストール (ファイルをバックアップして編集)
    [root@〇〇〇.sakura.ne.jp:certs ]# cp rapidssl-chain.crt rapidssl-chain.crt.2014
    [root@〇〇〇.sakura.ne.jp:certs ]# vi rapidssl-chain.crt

    ⑨再度、Apacheの再起動(⑤)と、SSLチェッカー(⑥)にかけると、SSLチェッカーでOKが出てました。
    【補足】ちなみに、FireFoxで https:// の左の鍵マークをクリックしてもSSL証明書の有効期限が延長されていることが確認できました。

    前任者がkeyと中間証明書を更新しなくてもApacheの再起動でエラーにならなかったのが謎ですが、取敢えず更新できてほっとしました。
    また、当方色々勘違いしておりました。SSH接続に秘密鍵が使われているので、それもSSL同様に更新しなければならない?のかと。
    また、viとvimを勘違いしておりました。今回vi編集も初めて行い勉強になりました。

    長くなりましたが、最後まで読んでいただきありがとうございました。来年SSL更新の備忘録として、また更新から携わる方へ少しでもお役に立てたらいいなと思います。
    そして、mankanさま、お忙しい中お付き合いくださいましてありがとうございました。丁寧なご教示と不慣れな当方に優しさとパワーをもらい、ここまでたどり着けました。本当に助かりました。ありがとうございました。大げさ?じゃないんですよーー、ぼっちで初めてだらけのSSL更新でしたので非常に勉強になりました。
    今後ともどうぞよろしくお願いいたします。m(_ _)m

    キャンセル

0

私も中途半端な知識しかありませんが、お急ぎのようなので解る範囲で。。。
間違ってる部分もあるかもしれないので、詳しい回答がつくまでの間にあわせに・・・

sshの公開鍵と秘密鍵について
このページの「鍵交換方式の仕組みと実際のコマンド」の項目の挿絵
秘密鍵はお持ちですか?秘密鍵を使用して接続する必要があるかもしれません。

そもそも、、、、
他の方がすでにVPSの設定を済ませているならば、
セキュリティ保持の目的で外部からのルート権限を拒否してる設定になってる場合がほとんどです。
外部接続用アカウントを作るのが一般的なのですが、
そのアカウントにセキュリティ関係を弄る権限を与えない場合がほとんどだと思われます。

kapimakoさんの状況だとさくらVPSのコントロールパネルからログインしないとSSHの設定を弄れないような気がします


投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2015/02/25 15:11

    早急なお返事ありがとうございます。
    さくらのコントロールパネルへ入ったみたのですが、いわゆるFTP環境で見るようなディレクトリ群などは見つからず…
    どこを見てよいのか分からなかったのですが、想像すると多分コマンドラインでしかサーバに命令?ができないような気がしています。
    仰るように、きっと外からのアクセス制限がされていてコマンドラインでは、直接サーバにアクセスができないような気がしています。

    もし、このまま入れない場合は、新たにさくらVPSのサーバを借りてSSLをインストールする手順が書いてあった「どっとインストール」を参考にやってみるか、ssl証明がコマンドラインでなくてもインストールできる方法を探してみたいと思います。
    取り急ぎ、お忙しい中ご教示ありがとうございました。感謝申し上げます。
    当方も、引き続き調べてみたいと思います。

    キャンセル

関連した質問

同じタグがついた質問を見る

  • SSH

    568questions

    SSH(Secure Shell)は、セキュアチャネルを通してデータを交換するためのネットワークプロトコルです。リモートサーバーへのコマンド実行やファイル転送を行う時に一般的に使用されます。

  • SSL

    518questions

    SSL(Secure Sockets Layer)とは、暗号化されたプロトコルで、インターネット上での通信セキュリティを提供しています。