https でウェブサイトにアクセスしようとするコンピュータは,CA (Certificate Authorities) という組織から,クライアント証明書を発行してもらわねばならない。
この証明書は,CA Bundle と呼ばれる。
経年 Linux コンピュータにも,CA Bundle はインストールされている。
そのコンピュータが https を使えなくなっているとすれば,それは CA Bundle が失効しているためである。
CA Bundle は,更新を続けていかねばならないものなのである。
CA Bundle は,CA のウェブサイトから直接得ることができる。
CA は複数あるが,ここでは mkcert.org を利用する。
https://mkcert.org/generate/
https ができるパソコンから
http://curl.haxx.se/ca/cacert.pem
にアクセスすると,CA Bundle の cacert.pem がダウンロードされる。
Linux の CA_BUNDLE ファイルは,RHEL (RedHat Enterprise Linux) の場合だと,
/etc/pki/tls/certs/ca-bundle.crt
これの中身 (文字列) を,ダウンロードした cacert.pem の中身 (文字列) に変えればよい。,
これで https ができるようになったか,テストする:
<![CDATA[$ curl https://bootstrap.pypa.io/pip/2.7
<html>
<head><title>301 Moved Permanently</title></head>
<body>
<center><h1>301 Moved Permanently</h1></center>
<hr><center>nginx/1.27.0</center>
</body>
</html>]]>
ページソースの html テクストが表示されている。
成功である。
|