本業の方のブログで利用しているSSL証明書の有効期限が切れました。昨年SSLストアで購入した一年分のquickssl premiumが5,400円だったのに対して、現在の価格を見ると12,780円とか、目玉が飛び出るほどのハイパーインフレ状態のようです。ここのブログで利用しているRapidSSLも昨年1,080円だったのが2,980円です。取り急ぎ、最安のSecure Core SSLに乗り換えましたという内容です。
このページの目次
シマンテック系証明書の値上げ
SSLストアさんのお知らせを引用しますと、シマンテック系証明書(RapidSSL、Geotrust、旧ベリサイン)の卸値がハイパーインフレ状態のようです。何が起こったのでしょうか。さらに.jpドメインには海外SSL業者で購入した証明書の登録ができないようにしているようです。酷い施策ですね。
2015年4月15日にシマンテック系証明書(RapidSSL、Geotrust、旧ベリサイン)の日本向けの卸値が大幅に引き上げられました。
そのため、やむを得ず当社の販売価格も大幅に値上げいたしました。 (なお、海外サイトなどで、日本向けでない証明書をアクティベートすると契約エラーとなります。)
Let’s Encryptプロジェクトは間に合わず
無料でSSL証明書を発行してくれるLet’s Encryptプロジェクトは、一般公開の時期が延びて11月以降になったようです。ぎりぎりで無料SSL証明書に乗り換える計画は間に合わなかったので、とりあえず安いのでいいので、一年分SSL証明書を購入することにしました。
プロジェクト公式ページ(英語)
(2016/07/28追記)当ブログは、Let’s Encrypt証明書を使うようになりました。
SSL Boxで購入
海外SSL業者の価格も調べましたが、円安の現在、英語で苦労しながら購入するまでの価格差じゃないなと思い、国内で最安と思われるSSL Boxさんの CoreSSL一年分キャンペーン価格990円というのにしました。詳細は広告ですが、下記のリンクをご覧ください。
購入手続き
SSL BOXのサイトで、会員登録→支払情報登録→クレジットカードで購入予定金額分のデポジット登録→目的のSSL証明書を購入。と、ここまでは国内の日本語サイトなので説明するまでもないと思いますので省略します。購入後のCSR作成はSSL BOXでは作成ツールを用意していないので、自分で作成する必要ありです。
CSRの作成
自分のDebian8 jessieのapache2サーバーで作成した手順です。Secure Core公式ページの作成方法そのままです。ウチの環境では秘密鍵にパスフレーズを設定するとサイトが表示されなくなるパターンに当たったようだったので、パスフレーズ無しで設定しました。
Secure Core |SSL導入ガイド
/etc/apache2/ssl という作業用ディレクトリを作成している前提です。
作業用ディレクトリーに移動します。
cd /etc/apache2/ssl
秘密鍵ファイル名 | coressl.key |
---|---|
CSRファイル名 | coressl.csr |
例として上記のファイル名で作成します。
openssl req -new -newkey rsa:2048 -nodes -keyout coressl.key -out coressl.csr
【ここで、いろいろ聞かれるので、入力していきます。】
国名は半角大文字で「JP」
Country Name (2 letter code) [AU]:JP
都道府県名をローマ字表記で(例:Tokyo)
State or Province Name (full name) [Some-State]:Tokyo
市区町村名をローマ字表記で(例:Setagaya-Ku)
Locality Name (eg, city) []:Setagaya-Ku
会社名を英語表記で
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
部門名や部署名をローマ字表記で(例:system)
Organizational Unit Name (eg, section) []:system
サイトのURL:FQDN名(例:www.example.com)
Common Name (e.g. server FQDN or YOUR name) []:www.example.com
以下は空欄で良しとのこと
Email Address []: A challenge password []: An optional company name []:
これで、/etc/apache2/ssl/のなかにcoressl.csrという名前のファイルができています。そのファイルの中の文字の羅列が申請すべきCSRです。中身をコピペして、アクティベート準備はできました。
セキュリティのため、この作業用フォルダ内のファイルのパーミッションを変更しておきます。秘密鍵とCSRファイルのバックアップも取っておいた方がいいでしょう。
chmod 400 *
承認申請を完了させる
CSRをコピペしたら、SSL Boxの管理画面にログインして、購入したSSL証明書の承認申請をします。申請後5分くらいには登録完了して、SSL Boxの管理画面で詳細が確認できるようになりました。
ファイル3種類を入れ替える
Debian8のApache2の場合は、/etc/apache2/sites–available/default–ssl.confファイルで指定している3種類のファイルを入れ替えます。(場合によっては別ファイルということもあります)
はじめてSSLサイトを構築する場合は過去記事を参照してください。
default-ssl.confファイルを開いて、以下の3行で指定している3ファイルを、新しいファイルと入れ替えます。
SSLCertificateKeyFile ~パス~←秘密鍵
SSLCACertificateFile ~パス~←中間証明書
CERT(SSL証明書)と中間証明書のファイルは、SSL Boxの管理画面からダウンロードできます。
秘密鍵ファイルは、CSRファイルを作成したときに一緒に作成済みの秘密鍵ファイルをそのまま利用します。上記の例では、coressl.keyファイルのことです。
apache2再起動
最後にapacheの再起動をして、動作確認ができれば完了です。私の場合は、Debianで起動時にSSL秘密鍵のパスフレーズを自動入力する設定をしているので、そのパスワードを無しの元の状態に変更する必要がありました。CoreSSLには、サイトシールは無しです。今回のCoreSSLを利用した実際のページは、お問合せフォームのコチラになります。
[広告]
国名は半角大文字で「JP」のコマンド例が「Country Name (2 letter code) [AU]:JA」と「JA」になっているようです。実際に渡しのケースでは「JA」では上手く行きませんでしたので、共有致します。
Yonemotoさん、コメントありがとうございます。
誤字を修正しました。ご指摘感謝いたします。