レンタルサーバーやドメインレジストラで有名なネットオウル社が提供するサービスで「SSL BOX」というサービスがあります。
SSLボックスではSSL証明書を購入することができ、自分が所有するドメインに適用することができます。
(海外のSSL証明書を提供する会社の販売代理店なんだと思う)
SSLボックスでは複数のSSL証明書を扱っています。
今回は有料の中でもCoreSSLという最も安いSSLを購入したのでその取得方法を解説していきます。
SSLボックスは無料の「Let’s encrypt」というSSL証明書も導入していますが、こちら90日間で更新時期が来てしまい、その都度更新作業が発生、忘れたら大変なことになるのでお薦めはしません。
SSLボックスでどのSSL証明書を購入する?比較
SSLボックスで取り扱っているSSL種別には以下のように種類があります。
| SSL種別 | 料金 | 認証方式 |
|---|---|---|
| CoreSSL | 950円/年 | ドメイン認証 |
| SecureCore ドメイン認証 |
4250円/年 | ドメイン認証 |
| ラピッドSSL | 3500円/年 | ドメイン認証 |
| ジオトラスト クイックSSLプレミアム |
13000円/年 | ドメイン認証 |
| Let’s Encrypt | 無料(90日) | ドメイン認証 |
| SecureCore 企業認証 |
17500円/年 | 企業認証 |
| Symantec セキュアサーバーID |
85000円/年 | 企業認証 |
| SecureCore EV SSL |
45000円/年 | EV認証 |
| Symantec セキュアサーバーID EV |
170000円/年 | EV認証 |
※一部キャンペーン中含む
ドメイン認証
ドメイン認証というのはこのドメインの所有者を確認しました、という認証です。登録したメールアドレスにメールが送られてきてメール内のURLをクリックして本人確認を行う手法と、ドメイン配下に本人確認用のファイルをアップロードしてそれで確認を行う手法の2つあります。(後者の方はGoogleサーチコンソールでも使われている手法と同じですね)WEB上で認証が済むので即時発行が可能です。
僕が購入したCoreSSLはメール認証でした。
SSL化に成功するとブラウザでアクセスしたときにURLの左側に鍵マークが付きます。(ブラウザにより表現は異なりますが、どのブラウザも概ねこのような感じです)安全な接続の中身を見ることもできますがドメイン認証の場合は運営者名までは出ません。
企業認証
<これを使ってるサイトを見たことがなく画像はありません>
企業認証というのはその企業や個人が存在していることを確認する手法で、確認のレベルが上がります。人の目で確認が入り、通常1~4営業日ほどかかる模様です。ブラウザでアクセスして安全な接続の中身を見ると、運営者名まで表示されます。
EV認証
EV認証というのは企業や団体の確認を行う手法です。最短10営業日(ほぼ2週間)かかります。どういった確認が入るのかわかりませんが、企業の登記簿謄本や現在事項証明書などを使って進めていくことになりそうです。ブラウザでアクセスしたときに企業名が表示されているものですね。銀行とか大企業とかはEV認証をする事になるでしょう。
ちなみにどの認証方法でもセキュリティの強さに関しては同じです。認証局が実在する人物、団体をどのレベルで確認した、という違いとブラウザ上の表示が異なるだけです。
GoogleがシマンテックSSL利用者に注意喚起
Chrome での Symantec の認証局(Symantec が所有する Thawte、VeriSign、Equifax、GeoTrust、RapidSSL などのブランドも含む)への信頼が無効化される予定です。
という事がアナウンスされています。2016年6月以前に発行されたSSL証明書を使っているサイト運営者は置き換えを。
なので今は大丈夫なんだろうと思いますが、CoreSSLはComodo社という世界で最もシェアを取っている会社のSSLなのでこれを選択しました。安いしね。
(ちなみにComodo本社でもSSL購入はできますが販売店で買ったほうが安いようです。オープン価格なのか?)
ネットオウルのアカウントを作成
ネットオウル社のアカウントを作成していない方は作成をしておきましょう。
またサービスを購入するには事前入金が必要なので、画面左側の契約管理からネットオウルプリペイドでポイントを購入しておきます。
このポイントで同サービス内のSSL購入(の他、ドメイン購入やレンタルサーバー契約等)も出来ます。
SSLボックスでSSL証明書を購入する流れ
1.画面左側のSSLボックス管理→新規取得をクリック
2.サーバーの選択
同じネットオウル社が提供するスターサーバー利用者は左を、自分のように他社レンタルサーバーにドメインが入ってる方は右側をクリック
3.SSL種別を選択、年数と暗証番号を入力して決済画面へ
4.決済確認画面で確認すれば完了です
SSL証明書の新規取得の流れ
引き続きSSL証明書の取得方法を記します。
1.コモンネームに使用するドメイン名を入力
https://example.jpだったら、「example.jp」と入力
2.署名アルゴリズムは「SHA2-256」しか選べませんでした
3.CSR入力欄
CSRはCertificate Signing Requestのことです。各サーバーで生成します。
COMODO社に各サーバー毎のCSR生成方法があったので載せておきます。(CSR生成方法)
以下のようなテキストを生成して、それをCSR入力欄に貼り付ける形です。
—–BEGIN CERTIFICATE REQUEST—–
MIIBSzCB9gIBADCBkDELMAkGA1UEBhMCVVMxDjAMBgNVBAgTBVRleGFzMQ4wDAYD
….
HNX2uFXghrjBJw3mtZ36JhG7cLeWZK7B+4dmOL4f2ToreSW946wQMxK5ZYYOK68=
—–END CERTIFICATE REQUEST—–
私はドメインをWhois代理公開にしているので、その情報を入力しました。
次に進みます。
4.申請登録情報を入力します
承認用メールアドレスは
admin@ドメイン名などが選択できるのみでした。こういう決まりなんでしょうね。で、このメールアドレス用にメールが来るので実在してないと駄目です。もしadmin@ドメイン名のメールアドレスが無ければ自分で作っておかないといけません。(いまどきadminのメールアドレスなんて作る人いるんだろうか‥)
あとは画面に従って所在、電話番号などを入力していきます。次へ進むをクリックして進めばOKで、そうでなければエラー箇所が表示されますので修正します。組織名など個人の場合はNone、FAXが無い場合は電話番号と同じものを入力すればOKです。(しかしいまどきFAXなんか使ってる会社あるのかよ)
あんまり個人情報を入力したくないですよね。そもそも所有者の存在確認だけのドメイン認証なんだから。とは言えここで個人情報を入力してもSSL証明書には運営者情報等は表示されないので、とりあえずは安心です。
5.申請を確定する
6.本人確認用のメールが来る
メールが来たら中に記載されているURLをクリックしてvalidation codeをコピーペーストします。
7.暫く待つと証明書発行完了のお知らせが届く
8.SSLボックス側もステータスが「発行済み」になります
9.CERT(SSL証明書)と中間証明書をダウンロードしておく
10.証明書ファイル2つをサーバー側でアップロードするして、該当のドメインに適用する
これで完了となります。
httpsでアクセスしてみよう
この時点でhttpでもhttpsでもアクセスできるようになっていると思います。
完全SSL化を行うにはまだ途中ですが、まずは購入したSSL証明書がちゃんと動いてる事(httpsでアクセスできること)を確認すればOKです。
サイトのSSL化のための修正点はまた次回投稿します。
