SSL証明書の取得
以前にもSSL証明書の取得方法を書いたのだが、もう少し詳しく説明したいので再度投稿をしようと思う。
ちなみに「Webサーバ、プロキシ (proxy)サーバ」と「ルータ、ロードバランサ」ではやることが変わります。
また、登場人物は、自分、CA局(例えばサイバートラスト)、ドメイン管理会社(例えばクラリベイト)、ドメイン管理者(例えば自分)。
事前準備としては、SSL証明書を付けたいサイトのドメインの取得が有ります。
さらに言うとドメインに紐付く固定グローバルIPの取得も必要ですね。
前置きが長くなりましたが、、、
SSL証明書を取得するには以下①~⑦を行なう必要があります。
①秘密鍵の作成
・Webサーバ、プロキシ (proxy)サーバの場合
opensslなどのコマンドを利用し、パスフレーズを任意の文字(何でもいいけど忘れないように)で設定し秘密鍵を作成し②へ
・ルータ、ロードバランサの場合
何もせず②へ
②CSR(文字列)ファイルの作成 ※CSRの文字列には公開鍵が含まれます
・Webサーバ、プロキシ (proxy)サーバの場合
opensslなどのコマンドで①で作成した秘密鍵を引数にして実行し、地域情報や企業情報、担当者情報、コモンネーム(コモンネームはドメインではなく「www.yahoo.co.jp」で言うところの「www.」付きがコモンネーム。「yahoo.co.jp」はドメイン)を入力しCSRを作成し③へ
・ルータ、ロードバランサの場合
地域情報や企業情報、担当者情報、コモンネーム(コモンネームはドメインではなく「www.yahoo.co.jp」で言うところの「www.」付きがコモンネーム。「yahoo.co.jp」はドメイン)をルータやロードバランサの画面で入力し、CSRをダウンロードし③へ
③CA局(サイバートラストなど)にSSL証明書の取得を申請
※Webサーバ、プロキシ (proxy)サーバの場合とルータ、ロードバランサの場合の分けはありません
メールや電話で申請し、公開鍵が含まれているCSRをホームページなどからCA局へ渡して④へ
④CA局(サイバートラストなど)がコモンネームが正式なものか調査
※Webサーバ、プロキシ (proxy)サーバの場合とルータ、ロードバランサの場合の分けはありません
CA局からドメイン管理会社へ。ドメイン管理会社からドメイン管理者へ確認を行い申請内容が正式なものかを確認しOKであれば⑤へ
⑤CA局(サイバートラストなど)で署名
※Webサーバ、プロキシ (proxy)サーバの場合とルータ、ロードバランサの場合の分けはありません
CA局が持っている秘密鍵で申請時に渡したCSRに対し署名をして⑥へ
⑥CA局(サイバートラストなど)でSSLサーバ証明書(CSRを作成したサーバの公開鍵込み)を作成
※Webサーバ、プロキシ (proxy)サーバの場合とルータ、ロードバランサの場合の分けはありません
⑦へ
⑦CA局からSSLサーバ証明書を受け取り、配置、設定
・Webサーバ、プロキシ (proxy)サーバの場合
Webサーバ、プロキシ (proxy)サーバへ物理的に配置し、配置先のパスをWebサーバ、プロキシ (proxy)サーバの設定ファイルに設定
・ルータ、ロードバランサの場合
ルータ、ロードバランサの画面からアップロード
ここまで。
とりあえずダーっと書きましたが、サイトをHTTPSで公開するまでにプロバイダとの契約、ドメインの取得維持、SSL証明書取得と色々やることが有りますね。。
なぜこんなに不便なのか・・・
あとSSL証明書は公的なものは有料で年間で数万とかしますし。。。
でもその分ホームページがHTTPSで表示されていればある程度安心感があるのも間違いでは無さそうですね。