サーバ証明書の準備

SSL 化の準備として、サーバー証明書を用意します。サーバー証明書は文字通り、そのサーバーの存在を第三者機関が証明したものです。現在では公的なサーバー証明書を発行する機関は数多くあり、個人で購入できる低価格のものもあります。

サーバー証明書は公的機関が直接販売しているものもありますが、多くは取次店によって売られています(取次店の方が安く購入できます)。価格は種類によって大きく変わります。種類は次のように分けることができます。表の上から下に向かって価格は高くなります。ドメイン認証型であれば個人向けに年間、数百円から数千円程度なので手軽に購入できます。

  • ドメイン認証型 SSL サーバー証明書
     条件:ドメイン使用権を持っていること
     対象:法人、個人など誰でも取得可能
  • 企業認証型 SSL サーバー証明書
     条件:法的に存在する企業・団体であること
     対象:企業、団体
  • EV(Extended Validation)型 SSL サーバー証明書
     条件:法的にも実際にも存在する企業・団体であること
     対象:企業、団体

EV 型では Web ブラウザで表示した時に、URL 欄が以下のように緑色になりかつ、その企業名が表示されます。上が Edge で、下が Explorer の場合です。信頼性が必要な銀行系はほとんどがこの EV 型 になっています。ちなみにマイクロソフト社は緑色になりません。EV 型ではないようです。

ドメインさえ持っていれば誰でも取得できるドメイン認証型 SSL サーバー証明書の取得方法は、どの取次店でもそれほど変わりません。メール認証の場合は、だいたい次のような手順になります。認証方法には他にページ認証、DNS 認証などがあります。

1. 申請確認用メールアドレスの準備

申請するドメイン名が hanasan.info であれば、admin@hanasan.info、webmaster@hanasan.info など、そのドメインで受信可能なメールアドレスを用意します。この時のメールアドレスは取次店によって異なるので、その取次店で確認してください。

2. 申請情報の作成

申請者の氏名や住所などを格納した申請データ(csr)を作成します。作成には OpenSSL などのツールを使います。この時、秘密鍵(key)の作成も行います。この秘密鍵(key)は実際の運用でも使用するので、絶対に無くさないでください。また、絶対に外部へ漏らさないでください。流出してしまうと、これによって暗号化された通信は解読されてしまい、暗号化する意味がなくなってしまいます。実際の作成の仕方は取次店の説明にあると思うので、そちらを参照してください。

3. 証明書の購入

申請データ(csr)と一緒に取次店へ購入申し込みをします。間違えて秘密鍵(key)を送らないようにしてください。

4. ドメインの確認

申請が受け入れられると、申請確認用メールアドレスに確認メールが送られてきます。メールの内容に従って確認手続きをします。

5. 証明書の受け取り

申請確認が完了すると、サーバー証明書(crt)がメールで送られてきます。この時のメールアドレスは申請確認用のメールアドレス、申し込み時に指定したメールアドレスやドメイン登録(whois 情報)に使用したメールアドレスなどに送られてきます。サーバー証明書によっては中間 CA 証明書が必要になる場合があります。このことも取次店の説明にあるので、そちらを参照してください。

上記の 3 から 5 の手順はほとんどの取次店で自動化されている為、数分程度で終わります。長くても 30 分もかからないでしょう。

サーバー証明書を取得すると、「申請データ(csr)」、「秘密鍵(key)」、「サーバー証明書(crt)」の 3 つ、または「中間 CA 証明書(crt)」があれば 4 つのファイルができます。これらのファイルは 1 セットにして安全なところへ保管して置いてください。サーバー証明書取得の詳しい手順については購入する取次店の説明を参照してください。