常時SSLの流れか
サーバ証明書の安価なもの
がではじめた
昨年、Freeの証明書
Let’s Encrypt
を試してみましたが
ブログ自身はhttpのままにして
nginxのプロキシ設定でhttps化
したかったのですが
どうしてもブログの表示が
崩れてしまい、放置状態でした
サーバ証明書の取得
JPRSの安価な証明書は
なんと、年間972円
サーバ証明書というと
年間数万円かかる
というイメージを持っていたので
とってもお得な印象
もちろん、EVではないDVタイプ
の証明書なので信頼度は低い
※信頼度とは、他者から見たときの
サイトなど信頼度合いであり
SSLの強度ではありません
個人のブログ程度であれば
全然問題ないですし
Freeとも違い、JPRSが運営しているCA
なので、十分と言えるでしょう
申し込みはWebベースで簡単!
支払い用のクレジットカードと
申請に必要なCSRを作成しておけば
あっと言う間に完了します
CSRの生成
Certificate Signing Request の略
証明書を申請する時の
サーバや申請者の情報と
作成した秘密鍵、公開鍵
に関する情報が含まれます
申請の流れは
1 2 3 |
秘密鍵+CSR情報→証明書申請 →審査OK(ドメイン認証)なら→証明書発行 →証明書DL+秘密鍵→サーバに設定 |
大まかこんな感じです
1 2 3 4 5 |
秘密鍵の生成 openssl genrsa -aes256 2048 > servername.key CSRの生成 openssl req -new -key servername.key -out servername.csr -sha256 と叩くと以下のメッセージが流れ、servername.csrが生成される |
1 2 3 4 5 6 7 8 9 10 11 12 |
Country Name (2 letter code) [XX]:JPと入力 State or Province Name (full name) []:都道府県名を入れる Locality Name (eg, city) [Default City]:市町村区の名前を入れる Organization Name (eg, company) [Default Company Ltd]:ドメイン名で良いでしょう Organizational Unit Name (eg, section) []:入力無しでOK Common Name (eg, your name or your server's hostname) []:自分のドメイン Email Address []:入力無しでOK Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []:入力無しでOK An optional company name []:入力無しでOK |
ドメイン認証
さくらのVPSの場合
手続きが終わるとキーファイルを
会員サイトからダウンロードして
自分のサイトから参照できる様に
配置する
1 |
http://[ドメイン名]/.well-known/pki-validation/の下に配置 |
JPRS側から、実在するサイトで
且つ、確認コードを渡した先
であることを確認できれば
証明書発行となる
自分の場合、AレコードにWWW付きしか
登録していなかったため
単純なドメイン名で参照できなかった
ようで、サポートに問い合わせ、気がつき
www無しをAレコードに追加したところ
DNSに反映されるとすぐにアクセスがきて
証明書が発行されました
サーバ設定
必要になる情報は
生成した秘密鍵
発行されたサーバ証明書
JPRSの中間証明書
※中間証明書はJPRSサイトからダウンロードする
Apacheの設定としては
上記の3つのファイルを
/etc/httpdの下に
適当なフォルダを作成し
コピーしておく
ssl.confファイルの中の
1 2 3 |
SSLCertificateChainFile 中間証明書のパス SSLCertificateFile サーバ証明書のパス SSLCertificateKeyFile 秘密鍵のパス |
を指定して
サービスの再起動をすればOK
SSL化完了!