バリューサーバーで独自ドメインによるSSLを無料でやってみる
TNKソフトウェアのサーバーは今までロリポップのサービスを使用していたのですが、パスワード記入欄があるとエラー扱いにするなど、年々ブラウザのhttpによる無暗号通信に対する厳しさが増していく中、未だに独自SSLがオプションである上に高額なので、契約が切れたのを機にバリューサーバーに乗り換えました。
最近はドメイン認証という最低限の信頼性を得たいだけであれば、無料で取得できる時代になりました。ここでは、TNKソフトウェアがhttpsドメインになるまでの手順を簡単に紹介したいと思います。
サブドメインを設定する
SSLはサブドメイン単位で有効になります。例えば、この設定だと、「tnksoft.com」と「www.tnksoft.com」はhttpsですが、「sh.tnksoft.com」はhttp通信になります。
CSRを作成する
SSLにおける証明書を発行する認証局に提出するCSRはバリューサーバーで作成します。これはバリューサーバーのヘルプページの1~4 が詳しいのでそちらをご覧ください。プライベートキーはこのあと使うので覚えておくように。
StartComから受け取れるメールアドレスを作成する
「Let's Encrypt」は無料で証明書を発行しくれることで有名ですが、3ヶ月ごとでの更新が必要であることや、Linuxの知識も多少いるなど、サーバー構築になれてない人には難易度が高いので、私はStartCom のサービスを使うことにしました。このサービスではドメイン認証に決められたアドレスしか使えないため、あらかじめ「postmaster@」「hostmaster@」「webmaster@」のいずれかのメールアドレスを開設し、受け取れる状態にしておきます。
StartSslにアクセスする
右上の「Sign-up」よりユーザー登録を行ったら、拡張子.p12のログイン証明書が発行されるので、これをダブルクリックしてパソコンに導入します。StartComに次回以降ログインするときは、この証明書の有無でチェックされるのですが、私の環境ではGoogle ChromeよりもMicrosoft Edgeの方がスムーズにログインできました。
ドメインの証明をする
ログインしたらコントロールパネルより「Validations Wizard」をクリックし、選択肢から一番上にある「Domain Validation」にチェックが入ったままで、「Continue」をクリック。続けてドメイン名(サブドメインは含まず)を入力します。指定したメールアドレスに届いたコードを「Verification code」に入力すれば認証は完了です。
署名の発行を申請する
「Certificates Wizard」より「Web Server SSL/TLS Certificate」を選び、次のページに進みます。このページでhttpsを有効にしたいサブドメインを一行単位で入力し、CSRの欄にはバリューサーバーで作成した「-----BEGIN CERTIFICATE REQUEST-----」で始まるCSRテキストを入力します。
リクエストに成功すると、「Issued」として、「Tool Box→Certificate List」より証明書がダウンロードできるようになります。ちなみに、申請は1日に3回までしか発行してくれないので、この点に注意しましょう。
中間証明書をダウンロードする
バリューサーバーはApacheで稼働しているので、証明書はApacheServer.zipに含まれているものを利用することになります。ただし、ここに含まれる「1_root_bundle.crt」を使ってしまうと「この署名は安全性が低い」とブラウザで警告が出てしまうので、https://www.startssl.com/root/ の「Intermediate CA Certificates」より、より強い暗号を用いた「StartCom Class 1 DV Server CA(pem)」をダウンロードし、代わりに使用します。
証明書のテキストを記入する
最後はヘルプページの6~ に従い、取得した各種証明書のテキストデータを入力します。「発行された証明書」にはStartSslから入手した「2_***.crt」内のテキストを、「発行された中間証明書」には「sca.server1.crt」内のテキストを入力します。これでインストールが完了すれば、しばらく後に対象のドメインが自動でhttpsになっているはずです。
2016/09/12