SSLサーバ証明書のインストール手順まとめ(webディレクター向け)
今の時代、webサイトの表示をする通信は暗号化されるべきと言われています。
通信が暗号化されたwebサイトは、「http://」 ではなく、URLが「https://」で始まります。
最近は、「http://」で始まるURLのサイトもかなり少なくなってきました。
レンタルサーバではサーバ証明書が最初から付属しているものが多いですが、クラウドサーバやVPSでは、証明書のインストールを独自に行う必要があります。
webディレクターは、お客様のwebサーバに、SSLサーバ証明書をインストールする場面に直面することがあります。
ただ、実際のインストール作業は、専門のシステムエンジニアに依頼すればオッケーです。
とはいえ、システムエンジニアとクライアント担当者の窓口はwebディレクターが担うことが多いので、それがどう進むのかのステップは押さえておいたほうが良いですね。
ここでは、簡単にその手順をまとめておきます。
SSLサーバ証明書のインストールの手順
ちなみに、サーバ証明書で有名な会社というと、デジサート、GMOあたりかなーと思います。
私がよく使うのはGMOのグローバルサインというサービスです。
ここでは、グローバルサインのクイック認証SSLという証明書をインストールする手順を紹介します。
私も何度も対応していますが、お恥ずかしながら結構忘れがちです。
1. ディスティングイッシュネームを準備
ディスティングイッシュネームは、サイトを運営している企業・団体に関わる情報です。
この情報は、発行されるサーバ証明書にも記載されますので誤りがあってはいけません。
この情報は次のステップの「CSR作成時」に必要になります。
以下必須の項目をまとめておきます。
- webサイトのFQDN(例:www.abcde.co.jp)
- 組織名(英語)
- 組織の部署名(英語)
- 組織が置かれている市区町村(英語)
- 組織が置かれている都道府県(英語)
- 国を示す2文字のISO略語(日本ならJP)
2. CSRと秘密鍵をwebサーバで作成
CSRとは、「Certificate Signing Request」 の頭文字を取ったもので、サーバ証明書の認証局に「SSLサーバ証明書への署名」を申請する内容です。
その際、上記のディスティングイッシュネームも必要になります。
CSRと秘密鍵はwebサーバでコマンドを叩く必要があるので、システムエンジニアさんに作ってもらいましょう。
3.webサイトから申込み
グローバルサイン社が提供する申し込み画面にログインし、必要情報とCSRを入力。サーバ証明書を申請しましょう。
GlobalSign Certificate Center.
4. ドメイン所有確認(メール認証かファイル認証)
「申請するドメインをあなたは本当に所有してるのですね?」という確認のステップが入ります。
その方法は以下の2つです。
1. メール認証
メール認証の場合、契約者のメールアドレスにメールが飛ぶので、契約者がクライアントの場合は、クライアントの担当者にメールが飛びます。そのメールに記載のURLをクリックいただくことでドメインの所有が承認されたことになります。
2. ファイル認証
ファイル認証の場合は、対象のwebサーバの指定箇所に、グローバルサイン社が指定するファイルをアップします。
webサーバにアップしたデータに、グローバルサイン社のプログラムがアクセスします。(自動。少し時間かかります。)
アクセスされたらドメインの所有が確認されたことになります。
5. SSLサーバ証明書発行(サーバ証明書と中間証明書が発行される)
ドメインの所有が確認されると、中間証明書とサーバ証明書が記載されたメールが契約者に送付されます。
6.SSLサーバ証明書インストール
サーバ証明書をサーバにインストールします。
ここは、サーバのOSの種類でやり方が異なります。ここをwebディレクターがやるのは危険なので、システムエンジニアさんに依頼したほうがいいと思います。
7. 実際にhttps://で問題なくアクセスできることを確認
サイトがきちんと表示されることを確認しましょう。
あと、ブラウザのURL欄にある鍵のマークをクリックすると、インストールされたサーバ証明書情報を見ることができます。
有効期限が正しく契約期間に反映されているか確認しましょう。
手順としては以上です。
SSLサーバ証明書の種類
あと、一応サーバ証明書の種類についても少し触れておきます。
サーバ証明書には
- ドメイン認証SSL
- 組織実在認証SSL
- 実在証明拡張型SSL
というものがあります。暗号化レベルやセキュリティの強度的な意味での差はないです。
それぞれの違いを簡単に説明しておきます。
1. ドメイン実在証明SSL(Domain Validation)
一番認証が簡単なのがドメイン認証SSLです。
ドメイン認証SSLは、クイック認証SSLとも呼ばれ、オンラインで完結し、ドメインの実在証明ができればインストールできます。
個人的には機能的な差があるわけではないので、費用を考えるとクイック認証SSLで必要十分だと思います。グローバルサインだと価格変わってなければ1年間契約で34,800円(税別)かかります。
2. 組織実在証明SSL(Organization Validation)
企業認証SSLは、企業の存在証明を含むサーバ証明書です。
電話もしくは書面で企業の存在確認が行われます。
企業認証SSLの認証を受けると、証明書情報に組織名も記載されます。
3. 実在証明拡張型SSL(Expanded Validation)
取得のための確認ステップが一番多いです。
この認証を受けた証明書がインストールされたサーバのwebサイトを見ると、その他のサーバ証明書の場合と違い、webブラウザのURL部に表示された鍵のマークが緑色になります。
きちんと認証を受けたサイトであると外目からもわかるので大規模サイトやECサイトなどにおいて、信頼性を高めるのに有効です。
まとめ
「サーバ証明書 インストール 手順」とかで検索しても、出てくるのは、ApacheやIISといったサーバOSへのインストール方法ばっかりヒットして、流れのようなものをまとめた情報が出てこないんですよね。。
なので、今回は、自分の備忘的な意味もかねて、サーバ証明書のインストール手順をまとめまてみました。
参考になると幸いです。
