StartSSLとは…?
通常、SSLでの認証に必要な証明書はベリサインやグローバルサインなどの認証局から発行される証明書と鍵を使い、通信の暗号化と発信者の信頼性を確保(実在証明)します。
しかし、この手続きには費用がかかります。
かと言って、自前の証明書と鍵では、通信の暗号化は可能ですが、実在証明をすることはできません。勝手に鍵を作って、「私は安全ですよ^^」と勝手に騒いでるだけ…って状態です。
なので、自前の証明書と鍵を使った場合、ブラウザでは以下のような警告が表示されます。
もちろんこのまま使用を続けることも可能ですが、初めてそのサイトを見た人は「え…大丈夫なの?」って思いますよね?でも、所詮自宅サーバ、費用はかけたくない…。
そこで登場するのがStartSSL。StartSSLは無料で使える認証局です。最近のブラウザなら上でご紹介したような警告が表示されることがありません。
ただし、無料なのはClass 1のものに限ります。Class 1では管理者のメールアドレスのみの証明になります。信頼度という点では「自分で発行した証明書よりはマシ」程度に考えた方が良いでしょう。
業務で使う場合は有料のものを使った方が良さそうです。
StartSSLによる認証鍵の発行
前提条件として、以下を満たす必要があります。
- ・独自ドメイン(mhserv.infoなど)を取得していること
- ・メールサーバを構築していること
- ・"webmaster"or"postmaster"or"hostmaster"@ドメイン でメールの受信ができること
アカウントの登録
StartSSLの公式ページへ移動します。
 |
左側のメニューから、[Contorol Panel]をクリックします。 |
 |
[Sign-up]をクリックします。 |
 |
氏名、住所、電話番号、メールアドレスを入力し、[Continue]をクリックします。 住所の英語表記がよく分からん!という場合は、こちらのサイト様が便利です。 電話番号は市外局番の初めの"0"を省略して記入します。 0123-45-6789 → +81-123-45-6789 |
 |
入力した内容が正しいか、規約に同意するか [OK]をクリックして、次に進みます。 |
 |
認証画面へと移ります。 ここで、一旦メーラーを開きます。 |
 |
少し待つと、先ほど入力したメールアドレスにメールが届きます。 件名:Your Authentication Code, ~ メール本文中の"authentication code"をコピーします。 |
 |
ブラウザに戻り、先ほどコピーしたコードをテキストボックスに貼り付け、[Continue]をクリックします。 |
 |
アカウントの登録が完了しました! |
ログイン用証明書の作成
StartSSLでは、SSLによる証明書を使用し、パスワードの入力等はありません。
 |
アカウント登録が完了すると、メールが届きます。 件名:StartSSL Account Request, ~ verification codeをコピーし、本文中のURLにアクセスします。 URLの有効期限は24時間です。 |
 |
コピーしたverification codeを貼り付け、[Continue]をクリックします。 |
 |
証明書を作成します。 強度は2048bitと4096bitと選択できますが、[4096(High Grade)]を選択すれば大丈夫でしょう。 選択したら[Continue]をクリック。 |
 |
ブラウザから確認が出た場合は[はい]をクリックしましょう。 証明書を自動的にブラウザへインストールしてくれます。 |
 |
[Install]をクリックし、証明書をインストールします。 |
 |
「おめでとう、無事インストールされたよ!証明書はバックアップを取っておいてね!」 [OK]をクリックします。 |
 |
これで次回以降、ログインができるようになりました。 |
ログイン用証明書のバックアップ
先にも書いたとおり、StartSSLではユーザ名やパスワードではなく、証明書を使ってログインを行います。パスワードなどはリセットが可能ですが、証明書の再発行は原則できません。つまり、証明書を無くしてしまうと、ログインができなくなります。
そこで、ログイン用の証明書をバックアップしたいと思います。
今回はInternet Explorer 10を例に説明します。
 |
[設定]→[インターネットオプション]をクリックします。 |
 |
[コンテンツ]タブから[証明書]をクリックします。 |
 |
[個人]タブからStartSSLの証明書を選び、[エクスポート]をクリックします。 |
 |
証明書のエクスポート ウィザードが開始します。 [次へ]をクリックします。 |
 |
"はい、秘密キーを…"にチェックを付け、[次へ]をクリックします。 |
 |
エクスポート ファイルの形式はPKCSのままで[次へ]をクリックします。 |
 |
"パスワード"にチェックを入れ、パスワードを入力します。 このパスワードは、今後証明書を他のブラウザはパソコンにインポートする際に使うので、忘れないようにしてください。 |
 |
出力先、ファイル名を指定し、[次へ]をクリックします。 |
 |
これでログイン用証明書のバックアップは完了です。 |
 |
念のため、出力先にバックアップされたファイルがあるか確認しておきましょう。 また、他の誰かの手に渡らないよう、大事に保管してください。 |
証明書を使ったログイン
証明書を使い、実際にログインを行いたいと思います。
 |
左側のメニューの[Control Panel]から、[Authenticate]をクリックします。 |
 |
証明書を確認し、[OK]をクリックします。 これでログインの完了です。 |
ドメインの認証
StartSSLに、自分のドメインを認証してもらいます。
 |
ログインし、画面上部の[Validations Wizard]をクリックします。 |
 |
"Domain Name Validation"を選択し、[Continue]をクリックします。 |
 |
自分の取得したドメインを入力します。 このとき、サブドメインは入力しないでください。 入力したら[Continue]をクリックします。 |
 |
認証に使うメールアドレスを指定します。 今回はwebmasterを選択しました。 |
 |
認証画面に移ります。 ここでまたメーラーを起動します。 |
 |
認証用メールアドレスにメールが届きます。 件名:Your Authentication Code, ~ 本文中のverification codeをコピーします。 |
 |
再びブラウザに戻ります。 コピーしたverification codeを、テキストボックスへ貼り付け、[Continue]をクリックします。 |
 |
これで、ドメインの認証は完了です。 |
秘密鍵の生成
さて、ようやく本題に入ってきました。
秘密鍵を生成します。同時に証明書の発行依頼も行います。
 |
ログインし、画面上部の[Certificates Wizard]をクリックします。 |
 |
"Web Server SSL/TLS Certificate"を選択し、[Continue]をクリックします。 |
 |
秘密鍵のパスワードを入力します。 このパスワードは10文字以上32文字以内で指定します。 入力が終わったら[Continue]をクリックします。 |
 |
「サーバにすでに証明書が作成されている場合はキャンセルしてこの行程をスキップしてください」と出ます。 もし以前自前の認証局を立てていた場合はキャンセル、新規で作成する場合は[OK]をクリックします。 |
 |
秘密鍵が表示されます。 テキストボックス内のコードを全てコピーします。 あとでまた使うので、メモ帳などのテキストエディタに貼り付けておきましょう。 ※表示されているコードはダミーです。 |
ここで、サーバ機を操作し、コピーした秘密鍵を入力します。
今回は server.key で作成します。
[root@co ~]# vi /etc/pki/tls/certs/server.key
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: AES-256-CBC,6GCCYXGJLR9K3LAQ5ZPX873GRPZ7GBZM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 h3xd2KG49zsjglyzOj3Qi
NQhMktuoe8KLHUUXOnk このコードはダミーです sJpiO7RAjuY0XH/StcBkq
b/9/QUDCydsxUw2lQLU e3NdfyGSi3KgFoRn3ksO5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-----END RSA PRIVATE KEY-----
貼り付け、保存が終わったらブラウザに戻り、[Continue]をクリックしましょう。
 |
サブドメインを追加します。 追加したいドメインを選び、[Continue]をクリックします。 |
 |
追加するサブドメインを入力します。 今回はWebサーバ用ということで、"www"を指定しました。 |
 |
これで証明書の作成準備が整いました。 [Continue]をクリックします。 |
 |
「証明書が発行されるまで、ちょっと時間がかかるよ。発行準備ができたらメールで知らせるから待っててね。メールはそうだなぁ…多分3時間以内に届くと思うよ。」 ってことで、とりあえず秘密鍵の生成は終了です。メールを待ちます。 |
証明書の発行
しばらく待っているとメールが届くので、メールが届いたら証明書を発行します。
 |
しばらく待つと、このようなメールが届きます。 件名:StartSSL Certificate issued, ~ |
 |
ログインし、画面上部の[Tool Box]をクリックします。 |
 |
[Decrypt Private Key]をクリックします。 |
 |
アカウントを選択し、[Continue]をクリックします。 |
 |
先に作った秘密鍵と秘密鍵生成の時に入力したパスワードを入力します。 入力したら[Decrypt]をクリックします。 |
 |
証明書が表示されます。 テキストボックス内のコードを全てコピーします。 ※表示されているコードはダミーです。 |
ここで、またサーバ機を操作し、コピーした証明書を貼り付けます。
今回は server.crt で作成します。
[root@co ~]# vi /etc/pki/tls/certs/server.crt
-----BEGIN CERTIFICATE-----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 6XYxzfvjeOaTEoxr06ox
QMiGSx4jdMJrTYXj1oou このコードはダミーです YGI8GASzXRtdAkpJKpEn
owevQchy9uSFkUfcBI8C AwEAAaOB7DCB6TAdBgNV
//q2/DCu+5AwgbkGA1UdIwSBsTCBroAU41i94TedMvWlEwZl//q2/DCu+5ChgZKk
gY8wgYwxCzAJBgNVBAYTAkpQMQ8wDQYDVQQIEwZOQUdBTk8xETAPBgNVBAcTCFN1
d2Etc2hpMRwwGgYDVQQKExNraW1hbWFiaS5keW5kbnMuYml6MRwwGgYDVQQDExNr
aW1hbWFiaS5keW5kbnMuYml6MR0wGwYJKoZIhvcNAQkBFg5yb290QGxvY2FsaG9z
dIIBADAMBgNVHRMEBTADAQH/MA0GCSqGSIb3DQEBBQUAA4IBAQBH3BO8WF0Xvm6j
MpslaehUk0Vr8VH+bVi3Bz5/3T2IcW3T2iktS+FvhlZQL9ubzZnELfTJ3NurhEGR
WvtRRUgKadH7XCeTX7hnyKJrtuGT2YE3r5eJaOfEfXECDHKV8ukuESVwNd4X4IHh
UR2IwiddWJuP2VDA4ZBrUWOvb3D9QieCCbwn0wB66jwqg7T9//qslQTyw9rDWpFJ
LJQfrhVLxv52SqQKpJYkSYDCkXfVzrAhDvYmnP/qbqdv7+xK7eir+1VIigZbPNLM
ZdnNOeqKiMKLiOaLIgOAR0XPcj40msZmu64wFa5pxF9D4YOGNv6saMgJg3pHLy1f
N+Veh6nC
-----END CERTIFICATE-----
貼り付け、保存が終わったらブラウザに戻ります。
 |
これで、秘密鍵と証明書ができあがりました。 |
保存した秘密鍵にはまだパスワードがかかっています。アクセスする度にパスワードの入力をするのは面倒なので、秘密鍵からパスワードを削除します。
[root@co ~]# openssl rsa -in server.key -out server.key
Enter pass phrase for server.key:秘密鍵作成時に入力したパスワード
writing RSA key
ついでに、パーミッションも変更します。
[root@co ~]# chmod 400 server.*
StartSSLのCA証明書の取得
このままではまだ自前で作った証明書、鍵と大して違いがありません。
サーバに認証局の情報、CA証明書をダウンロードします。
[root@co ~]# wget http://www.startssl.com/certs/ca.pem /etc/pki/tls/certs
--2013-06-24 04:50:28-- http://www.startssl.com/certs/ca.pem
www.startssl.com をDNSに問いあわせています... 192.116.242.20
www.startssl.com|192.116.242.20|:80 に接続しています... 接続しました。
HTTP による接続要求を送信しました、応答を待っています... 200 OK
長さ: 2760 (2.7K) [application/x509-ca-cert]
`ca.pem' に保存中
100%[======================================>] 2,760 7.49K/s 時間 0.4s
2013-06-24 04:50:29 (7.49 KB/s) - `ca.pem' へ保存完了 [2760/2760]
/etc/pki/tls/certs/: サポートされていないスキーム.
終了しました --2013-06-24 04:50:29--
ダウンロード完了: 1 ファイル、2.7K バイトを 0.4s で取得 (7.49 KB/s)
[root@co ~]# wget http://www.startssl.com/certs/sub.class1.server.ca.pem /etc/pki/tls/certs
--2013-06-24 04:50:59-- http://www.startssl.com/certs/sub.class1.server.ca.pem
www.startssl.com をDNSに問いあわせています... 192.116.242.20
www.startssl.com|192.116.242.20|:80 に接続しています... 接続しました。
HTTP による接続要求を送信しました、応答を待っています... 200 OK
長さ: 2212 (2.2K) [application/x509-ca-cert]
`sub.class1.server.ca.pem' に保存中
100%[======================================>] 2,212 --.-K/s 時間 0s
2013-06-24 04:51:00 (176 MB/s) - `sub.class1.server.ca.pem' へ保存完了 [2212/2212]
/etc/pki/tls/certs: サポートされていないスキーム.
終了しました --2013-06-24 04:51:00--
ダウンロード完了: 1 ファイル、2.2K バイトを 0s で取得 (176 MB/s)
[root@co ~]# vi /etc/httpd/conf.d/ssl.conf
#SSLCertificateFile /etc/pki/tls/certs/localhost.crt
↓
SSLCertificateFile /etc/pki/tls/certs/server.crt
#SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
↓
SSLCertificateKeyFile /etc/pki/tls/certs/server.key
#SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt
↓
SSLCertificateChainFile /etc/pki/tls/certs/sub.class1.server.ca.pem
#SSLCACertificateFile /etc/pki/tls/certs/ca-bundle.crt
↓
SSLCACertificateFile /etc/pki/tls/certs/ca.pem
設定を変更したら、Apacheを再起動します。
[root@co ~]# /etc/rc.d/init.d/httpd restart
httpd を停止中: [ OK ]
httpd を起動中: [ OK ]
再起動が終わったら、実際にアクセスしてみたいと思います。
 |
警告は出てこないと思います。 また、アドレスバーに鍵のマークが付くので、暗号化通信も行われているようです。 しかし、背景は白いままなので、身分証明は不十分ですね。 |
以上で、StartSSLを使った証明書の取得は終了です。長々と作業、お疲れ様でした。
今回取得した証明書、鍵の有効期限は1年間です。1年毎、更新作業を行う必要があります。
参考にしたサイト様
System House ACT - CentOS x86_64 サーバー構築・運用 - SSL証明書 StartSSL
今回新しく登場したコマンド
トップページ
Scientific Linux 6
CentOS 5(更新終了)
○準備
○VMware Player
○Hyper-V(Win Proのみ)
○導入
○セキュリティ対策
○Dynamic DNS
○NTPサーバ
○データベース
○WEBサーバ
○FTPサーバ
○メールサーバ
○DNSサーバ
○ファイルサーバ
○ブログシステム
○その他
