FileMakerServerを稼働させる必要が出てきた。
単純にインストール、コンテンツをいれてサービス開始は無事に出来るのだが、
インターネット経由で外部からアクセスを有効にするには、パスワードによる保護は当然のほか、そのアクセス経路にも
工夫を入れたいところ。

インストール直後の画面に「FMS 17 AdminConsole.webloc」にアクセスすると下記のような画面が表示される。
2019y04m18d_201854564.png
ごもっともな内容。
でもすぐには用意できないので、
2019y04m18d_201910803.png
な選択を選んでしまう。
でもなんらかの手はずは行いたい。そこでcertbotを参考に https://letsencrypt.org/ の Free SSL/TLS を利用できないか
検討してみた。

対象はmacOS Sierra(10.12.6)です。
https://certbot.eff.org/によれば、「brew install certbot」でcertbotが使えるそうな。
なので、

brewのインストール

管理者権限をもつアカウントでログインして、
コマンドプロンプトを立ち上げて

/usr/bin/ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)"

を実行する。実行中にsudoが聞かれるので、自身のパスワードを入力すれば進む。

certbotをインストールする

brew install certbot

証明書を取得する

外向けに名前を持っていることが必須
ここでは FileMakerServer のインストールで既に稼働しているwebサービスを利用して
証明書をいただくことにします。

なので方式は「webroot」
一時的に書き込まれるファイルは「-w」で指定して、ここではFileMakerServerのwebサービスで
コンテンツが置かれている場所「"/Library/FileMaker Server/HTTPServer/htdocs/" 」を指定してます。
「-d」は外から見たときのホスト名(外部DNSで引けること)
「--agree-tos」は利用規約への同意を意図してます。指定しないと問われます。
「--register-unsafely-without-email」はメールアドレスの登録をしないで進む

mini:~ supervisor$ sudo certbot certonly --webroot \
-w "/Library/FileMaker Server/HTTPServer/htdocs/" -d fm.sysosa.jp \
--register-unsafely-without-email --agree-tos 
 
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator webroot, Installer None
Registering without email!
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for fm.sysosa.jp
Using the webroot path /Library/FileMaker Server/HTTPServer/htdocs for all unmatched domains.
Waiting for verification...
Cleaning up challenges
 
IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/fm.sysosa.jp/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/fm.sysosa.jp/privkey.pem
   Your cert will expire on 2019-07-17. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot
   again. To non-interactively renew *all* of your certificates, run
   "certbot renew"
 - Your account credentials have been saved in your Certbot
   configuration directory at /etc/letsencrypt. You should make a
   secure backup of this folder now. This configuration directory will
   also contain certificates and private keys obtained by Certbot so
   making regular backups of this folder is ideal.
 - If you like Certbot, please consider supporting our work by:
 
   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le
 
mini:~ supervisor$

頂いたファイルは「/etc/letsencrypt/live/fm.sysosa.jp/」に置かれる

mini:~ supervisor$ sudo ls -l /etc/letsencrypt/live/fm.sysosa.jp
total 40
-rw-r--r--  1 root  wheel  692  4 19 01:16 README
lrwxr-xr-x  1 root  wheel   36  4 19 01:16 cert.pem -> ../../archive/fm.sysosa.jp/cert1.pem
lrwxr-xr-x  1 root  wheel   37  4 19 01:16 chain.pem -> ../../archive/fm.sysosa.jp/chain1.pem
lrwxr-xr-x  1 root  wheel   41  4 19 01:16 fullchain.pem -> ../../archive/fm.sysosa.jp/fullchain1.pem
lrwxr-xr-x  1 root  wheel   39  4 19 01:16 privkey.pem -> ../../archive/fm.sysosa.jp/privkey1.pem
mini:~ supervisor$

である。

FileMakerServerへ登録

「/etc/letsencrypt/live/fm.sysosa.jp」に存在するcert.pem と privkey.pem が必要。
だが、リンクファイルではだめで、実態のファイルが必要になる。
その場合「/etc/letsencrypt/archive/fm.sysosa.jp/」に実態があるのだが、

mini:fm.sysosa.jp supervisor$ ls -l
total 32
-rw-r--r--  1 root  wheel  1899  4 19 01:16 cert1.pem
-rw-r--r--  1 root  wheel  1647  4 19 01:16 chain1.pem
-rw-r--r--  1 root  wheel  3546  4 19 01:16 fullchain1.pem
-rw-------  1 root  wheel  1704  4 19 01:16 privkey1.pem
mini:fm.sysosa.jp supervisor$

「cert1.pem」は持っていけても、「privkey1.pem」はchmodを施す必要がある。
この2つを何処かに配置して、
2019y04m19d_015509154.png
とファイルを設置すれば、
2019y04m19d_015523851.png
となる。

3ヶ月更新

ただし、この証明書は3ヶ月で切れます。
なのでcronとかで定期的に発行させ、反映させる必要がある。

cert.pem、privkey1.pemらはリンクファイルとさせれば、更新だけで済むのかな?


トップ   編集 添付 複製 名前変更     ヘルプ   最終更新のRSS
Last-modified: 2019-04-19 (金) 02:05:47 (128d)