CentOS Stream 9のCockpitで、Let’s EncryptのSSL証明書を利用する
CockpitでSSL証明書が利用できない。「gnutls_handshake failed: A TLS fatal alert has been received.」のエラー
以前のCentOS Stream 9では、SSL証明書とプライベートキーをマージしたファイルを利用してSSL証明書として利用していました。数ヶ月前からCockpitのWEB画面にアクセスすると、証明書のエラーが表示されSSL接続ができなくなっていました
ログを確認すると下記のように、「gnutls_handshake failed: A TLS fatal alert has been received.」とエラーが表示されています
$ sudo journalctl -u cockpit Aug 07 14:12:53 example.com cockpit-tls[8581]: cockpit-tls: gnutls_handshake failed: A TLS fatal alert has been received.
Cockpitで利用しているSSL証明書を確認する
Cockpitでは、どの証明書を利用するか確認すると、「merged certificate and key files are unsupported. Please use a separate .cert and .key file.」とエラーが上がっています。マージされた証明書とプライベートキーはサポート外となっているので、ファイルをマージするのは駄目になったようです
$ sudo /usr/libexec/cockpit-certificate-ensure --check cockpit-certificate-ensure: /etc/cockpit/ws-certs.d/ssl.cert: merged certificate and key files are unsupported. Please use a separate .cert and .key file.
Cockpitの証明書のディレクトリを確認すると以下となっており、「0-self-signed-ca.pem」,「0-self-signed.cert」,「0-self-signed.key」のファイルに生成されていました
$ ls -l /etc/cockpit/ws-certs.d/ total 12 -rw-r--r-- 1 root root 3578 Aug 7 14:25 0-self-signed-ca.pem -rw-r--r-- 1 root root 1777 Aug 7 14:24 0-self-signed.cert -rw------- 1 root root 1704 Aug 7 14:25 0-self-signed.key -rw------- 1 root root 1704 Jul 7 16:35 ssl.cert
上記の新しい「0-self-signed-ca.pem」,「0-self-signed.cert」,「0-self-signed.key」は以下のような証明書ファイルとなっています
- 0-self-signed-ca.pem
- 種類: 自己署名CA証明書
- 説明: これは自己署名証明書(Self-Signed Certificate)のCA(Certificate Authority)証明書ファイルです。CA証明書は、他の証明書を発行するための基盤として機能します。このファイルには、証明書の発行元の公開鍵情報が含まれています。
- 0-self-signed.cert
- 種類: SSL証明書
- 説明: これはCockpitが使用するSSL証明書ファイルです。この証明書は自己署名されています。通常、Webサーバーやサービスがクライアントとの通信を暗号化するために使用されます。このファイルには、公開鍵情報が含まれています。
- 0-self-signed.key
- 種類: プライベートキー
- 説明: これはSSL証明書に対応するプライベートキーファイルです。プライベートキーは、証明書と対になる秘密鍵であり、暗号化通信を行う際に使用されます。このファイルは厳重に保護されるべきです。
上記をの証明書を、Let’s EncryptのSSL証明書の内容に上書きします。Let’s Encryptで利用する各SSL証明書は以下となります
$ sudo ls /etc/letsencrypt/live/example.com cert.pem chain.pem fullchain.pem privkey.pem README
上書きするファイルの種類と詳細は以下となります。
- cert.pem
- 種類: SSL証明書
- 説明: これはドメインに対して発行された公開鍵証明書です。Cockpitでは
0-self-signed.certの代わりに使用します。
- chain.pem
- 種類: 中間証明書
- 説明: これはSSL証明書チェーンの中間証明書です。ブラウザがサーバー証明書を信頼できるようにするためのものです。Cockpitで使用する場合、このファイルは必要ありませんが、
fullchain.pemに含まれているため特に別途設定する必要はありません。
- fullchain.pem
- 種類: 完全な証明書チェーン
- 説明: これはドメイン証明書と中間証明書が含まれたファイルです。Cockpitでは
0-self-signed-ca.pemの代わりに使用します。
- privkey.pem
- 種類: プライベートキー
- 説明: これはドメイン証明書に対応するプライベートキーです。Cockpitでは
0-self-signed.keyの代わりに使用します。
Let’s Encryptで利用するSSL証明書をCockpitのSSL証明書として利用する設定
具体的には、「cert.pem」を「0-self-signed.cert」に、「privkey.pem」を「0-self-signed.key」に、「fullchain.pem」を「0-self-signed-ca.pem」に上書きします
$ sudo cat /etc/letsencrypt/live/example.com/fullchain.pem > /etc/cockpit/ws-certs.d/0-self-signed-ca.pem $ sudo cat /etc/letsencrypt/live/example.com/cert.pem > /etc/cockpit/ws-certs.d/0-self-signed.cert $ sudo cat /etc/letsencrypt/live/example.com/privkey.pem > /etc/cockpit/ws-certs.d/0-self-signed.key
プライベートキーファイルの権限を設定します。
$ sudo chmod 600 /etc/cockpit/ws-certs.d/0-self-signed.key $ sudo chown root:root /etc/cockpit/ws-certs.d/0-self-signed.key
Cockpitを再起動して、新しい証明書を反映させます。
$ sudo systemctl restart cockpit