サーバー構築・運用 SSL証明書 StartSSL

(最終更新日時:2013-06-06 23:34:07)
OpenSSLによる自己認証局で作成したサーバー証明書で SSLサーバーを運用した場合、信頼できる認証局への信用の連鎖が行われていないため、ブラウザでセキュリティ警告が表示されてしまいます。
アクセスした人によっては、それだけで不審に思われる可能性がありますので、SSLサーバーには信頼できる認証局への信用の連鎖が行われているサーバー証明書を設定する必要があります。

Class1の証明書であれば 1年間無料で取得できる StartSSLのサーバー証明書は、信頼できる認証局への信用の連鎖が行われていますので、ブラウザでセキュリティ警告が表示されることがありません。
StartSSLからサーバー証明書を取得して、HTTPサーバー Apache に設定することにします。

メールアドレスの準備

SSL証明書の取得予定のドメインを所有していることを証明するため、

  1. postmaster@example.com
  2. hostmaster@example.com
  3. webmaster@example.com

のいずれかのメールアドレスを準備する必要があります。
※ 上記は SSL証明書の取得予定ドメインが example.com の場合です。

上記いずれかの申請に使用するメールアドレス宛に手続用のコードが送られてきます。

StartSSLへのアカウント登録

サーバー証明書を取得するにあたり、StartSSLへアカウントを登録します。
ブラウザから StartSSLサイト(https://www.startssl.com/)へアクセスします。

(※)クリックすると移動可能な拡大画像がポップアップします。画像は Windows7 64bitのものです。
startssl001.gif StartSSLのホーム画面です。

Sign-up For Free』をクリックして、次に進みます。
startssl002.gif 申請者情報の入力画面です。

氏名(First, Last Name)
詳細住所
郵便番号、住所
電話番号(+81は日本、03-xxxx-xxxxの場合、+81-3-xxxx-xxxx)
申請者の電子メールアドレス

を入力し、『Continue ≫≫』をクリックして、次に進みます。
startssl003.gif 確認・同意画面です。

申請者情報が正しいこと
StartComの CAポリシーに同意すること

の確認です。

OK』をクリックして、次に進みます。
startssl004.gif 申請者情報で入力した電子メールアドレス宛に本人確認用の電子メールが届きます。

Your authentication code is 』が本人確認用の認証コードになります。
startssl005.gif 本人確認用認証コードの入力画面です。

電子メールで送られてきた本人確認用の認証コードを入力します。

Continue ≫≫』をクリックして、次に進みます。
startssl006.gif アカウントの登録処理中であることの通知画面です。

6時間以内に登録完了の電子メールが届きます。

StartSSLのクライアント証明書をインストール

StartSSLへログインするためのクライアント証明書をブラウザにインストールします。

(※)クリックすると移動可能な拡大画像がポップアップします。画像は Windows7 64bitのものです。
startssl011.gif アカウントの登録通知が電子メールで届きます。

24時間以内に電子メール記載の URLにアクセスし、確認コードを入力します。
startssl012.gif 電子メール記載の URLにアクセスすると、アカウントの登録完了画面が表示されます。

同じ電子メールに記載されていた確認コードを入力します。

Continue ≫≫』をクリックして、次に進みます。
startssl013.gif StartSSLへログインするためのクライアント証明書秘密鍵を作成します。

高強度の暗号化』を選択します。

Continue ≫≫』をクリックして、次に進みます。
startssl014.gif クライアント証明書のインストール画面です。

Install ≫≫』をクリックして、次に進みます。
startssl015.gif クライアント証明書のインストール完了画面です。

Finish ≫≫』をクリックします。

クライアント証明書のバックアップ

StartSSLにログインするためには、クライアント証明書が必要になります。
パソコンの買い替え等により、他のパソコンで StartSSLにログインする場合やパソコンの OS再インストール(リカバリー)に備えて、クライアント証明書をバックアップしておきます。

•Google Chrome バージョン 27
(※)クリックすると移動可能な拡大画像がポップアップします。画像は Windows8 64bitのものです。
startssl021.png 設定画面で詳細設定を表示します。

HTTPS/SSLの『証明書の管理...』をクリックします。
startssl022.png インストールしたクライアント証明書を選択します。

エクスポート(E)...』をクリックします。
startssl023.png エクスポートウィザードの開始画面です。

次へ(N)』をクリックして、続行します。
startssl024.png 秘密鍵を一緒にエクスポートするかの選択画面です。

一緒にエクスポートする必要があります。
次へ(N)』をクリックして、続行します。
startssl025.png エクスポートファイルの形式を選択する画面です。

秘密鍵を一緒にエクスポートする場合は、PKCS #12 (.PFX)になります。
次へ(N)』をクリックして、続行します。
startssl026.png 秘密鍵の保護するためのセキュリティ設定画面です。

パスワードを設定します。
バックアップしたクライアント証明書をインストールする際に必要になります。

次へ(N)』をクリックして、続行します。
startssl027.png エクスポートファイル名の入力画面です。

ファイル名入力します。

次へ(N)』をクリックして、続行します。
startssl028.png エクスポートウィザードの完了画面です。

設定内容を確認します。

完了(F)』をクリックすると、クライアント証明書がエクスポートファイルにバックアップされます。

•Firefox
(※)クリックすると移動可能な拡大画像がポップアップします。画像は Windows7 64bitのものです。
startssl031.gif オプション画面の『詳細』で『暗号化』を表示します。

証明書を表示(S)...』をクリックします。
startssl032.gif インストールしたクライアント証明書を選択します。

バックアップ(B)...』をクリックします。
startssl033.gif バックアップファイルに設定するパスワードを入力します。
※バックアップファイルから復元する際に必要になります。

OK』をクリックして、バックアップファイルを作成します。

StartSSLへのログイン

StartSSLへのログインは、クライアント証明書をインストールしたパソコンのブラウザから Control Panel(https://www.startssl.com/?app=12)へアクセスします。

(※)クリックすると移動可能な拡大画像がポップアップします。画像は Windows7 64bitのものです。
startssl041.gif Authenticate』をクリックします。
startssl042.gif ログイン認証用クライアント証明書の確認画面です。

OK』をクリックするとログインができます。

ドメイン認証

SSL証明書の取得を予定しているドメインについて、所有認証を行います。

(※)クリックすると移動可能な拡大画像がポップアップします。画像は Windows7 64bitのものです。
Continue ≫≫』をクリックして、次に進みます。
startssl051.gif StartSSLにログインして、『Validations Wizard』をクリックします。
startssl052.gif 認証の種類を選択する画面です。

Domain Name Validation』を選択します。

Continue ≫≫』をクリックして、次に進みます。
startssl053.gif ドメイン名の入力画面です。

SSL証明書の取得を予定しているドメイン名を入力します。

Continue ≫≫』をクリックして、次に進みます。
startssl054.gif 認証に使用するメールアドレスの選択画面です。

SSL証明書の取得を予定しているドメインの認証で使用するメールアドレスを選択します。
startssl055.gif 選択したメールアドレス宛に電子メールでドメイン確認用の認証コードが届きます。

Your verification code is 』がドメイン確認用の認証コードになります。
startssl056.gif ドメイン確認用認証コードの入力画面です。

電子メールで送られてきたドメイン確認用の認証コードを入力します。

Continue ≫≫』をクリックして、次に進みます。
startssl057.gif ドメイン認証の完了画面です。

Finish ≫≫』をクリックします。

SSL証明書の作成依頼

SSL証明書の作成を依頼します。

(※)クリックすると移動可能な拡大画像がポップアップします。画像は Windows7 64bitのものです。
startssl061.gif StartSSLにログインして、『Certificates Wizard』をクリックします。
startssl062.gif 取得する SSL証明書の種類を選択する画面です。

Web Server SSL/TLS Certificate』を選択しています。

Continue ≫≫』をクリックして、次に進みます。
startssl063.gif SSL証明書秘密鍵の作成画面です。

秘密鍵に設定するパスワードと鍵の長さ、鍵の生成アルゴリズムを指定します。
Continue ≫≫』をクリックして、次に進みます。
startssl064.gif SSL証明書秘密鍵の作成確認画面です。

SSL証明申請書(CSR)を別途準備していませんので、『OK』をクリックして、次に進みます。
startssl065.gif 作成されたSSL証明書秘密鍵の表示画面です。

テキストエリア内に表示されている秘密鍵情報をコピーして保存します。
当サイトでは、ファイル名 server.key で保存しています。
Continue ≫≫』をクリックして、次に進みます。
startssl066.gif SSL証明書を作成するドメインの選択画面です。

認証済ドメインから SSL証明書を作成するドメインを選択します。

Continue ≫≫』をクリックして、次に進みます。
startssl067.gif SSL証明書を作成するサブドメイン(ホスト名)の入力画面です。

ssl.system-act.com を指定しています。

Continue ≫≫』をクリックして、次に進みます。
startssl068.gif SSL証明書の作成準備が完了したことの通知画面です。

Continue ≫≫』をクリックして、次に進みます。
startssl069.gif SSL証明書の作成受付画面です。

3時間以内に SSL証明書が作成されます。

SSL証明書の取得

SSL証明書の作成を依頼した後、しばらくするとSSL証明書が作成されています。
作成されたSSL証明書を取得します。

(※)クリックすると移動可能な拡大画像がポップアップします。画像は Windows7 64bitのものです。
startssl071.gif StartSSLにログインして、『Tool Box』をクリックします。
startssl072.gif Retrieve Certificate』をクリックします。
startssl073.gif 取得するSSL証明書を選択します。

Continue ≫≫』をクリックして、次に進みます。
startssl074.gif 選択したSSL証明書の表示画面です。

テキストエリア内に表示されている SSL証明書情報をコピーして保存します。
当サイトでは、ファイル名 server.crt で保存しています。

CA証明書の取得

StartSSLの CA証明書を取得します。

(※)クリックすると移動可能な拡大画像がポップアップします。画像は Windows7 64bitのものです。
startssl081.gif StartSSLにログインして、『Tool Box』をクリックします。
startssl082.gif StartCom CA Certificate』をクリックします。
startssl083.gif StartCom Root CA (PEM encoded)
および 『Class1 Intermediate server CA
をクリックして、それぞれの CA証明書をファイルに保存します。

フィードバック

記事の内容についてのご質問、ご指摘、その他ご意見等は、下記にてお願いいたします。

System House ACT公式ブログ内記事 : サーバー構築・運用 SSL証明書 StartSSL

トラックバックまたはコメントにてお寄せください。

Clip to Evernote
a System House to build an Accounting system by the Computer Technology