バリュードメイン経由、GMOグローバルサインのドメイン認証の使い方

概要

以下CentOS7「Apache2.4.6」での設定です。
Apache2.4.8」になった場合は、ssl.confの設定が微妙に異なります。ご注意ください。

値段、手軽さ

無料で手軽に利用できるsslで有名なのが「Let’s Encrypt」ですが、無料であるがゆえに、想定外のエラーが発生したり何故か上手くいかないときの代替手段がこれです。
・バリュードメイン(VALUE-DOMAIN)でIDを持っていたら、わざわざGMOグローバルサインでアカウントを作成しなくても利用できます。
・料金も、ドメイン認証(クイック認証)の場合、税込年間19,440円です。料金も、バリュードメイン経由でないと、倍近くします。
・年間3000円以内の会社もありましたが、シマンテックの問題などもあり、安心して利用できるものが意外と少なく感じました。
最終的に、とりあえず安心して利用できるもので、手軽なものに絞り込むと「グローバルサイン」という選択に至りました。

申し込んでから、証明書が発行されるまでの時間

平日のお昼間で、会社の営業時間内だったせいか、1時間以内に証明書が発行されました。確認の電話がかかってきたりとややこしいことはありませんでした。

申し込み手順

バリュードメインにログイン後に「SSL証明書の購入」ページに移動してください。

CSRの作成

次に、ページ上にある「CSR・プライベートキー」を新規作成してください。
入力欄全てに入力(英語)してください。特に「プライベートキーのパスワード」のところと、「コモンネーム(ドメイン名)」のところを慎重に入力してください。
以下のバリュードメインの注意書きにもあるように、コモンネームをwww.example.com(wwwあり)で申し込むとexample.com(wwwなし)も無料でセットでついてくきます。wwwが必要ない方は、コモンネームをexample.comで申し込んでください。
wwwサブドメインでお申込みをした場合、その親ドメインもSSL化の対象となります。 サブドメイン www.value-ip.com で申請:親ドメインの value-ip.com と、www.value-ip.com がSSL化の対象になる。 親ドメイン value-ip.com で申請:value-ip.com のみSSL化の対象になる。
※なお部署の項目を未入力にしたらエラーになったので、hostmasterにしておきました。

認証方法

whoisのメールアドレスを使う場合

バリュードメインでwhois代行設定をしていた場合、whois代行のメールアドレスがバリュードメインのメールアドレス「@value-domain.com」になっているため、whoisに記載されているメールアドレスは利用できません。
バリュードメインのwhois代行設定せずに、自分自身のメールアドレスをwhoisに記載している場合、そのメールアドレスで認証できます。

whoisのメールアドレスを使わない場合

申し込むドメインのメールアドレスが必要となります。今回は、「admin@ほにゃらら.com」を新たに作成して利用しました。 コモンネームをwww.ほにゃらら.com(wwwあり)で申し込んでいても、「admin@www.ほにゃらら.com」ではなく、「admin@ほにゃらら.com」(wwwなし)で大丈夫でした。

契約者情報

必要項目に入力してください。

申し込みボタン

申し込みボタンをクリックすると、先ほどの認証方法で説明したメールアドレスを選択する画面に遷移します。そこで、メールアドレスを選択し、申し込み完了となります。

証明書発行まで

メールアドレスの有効性の確認

申込完了後5分以内に登録したメールアドレスに、有効かどうかを確認するメールが届きます。
届いたメールのリンクをクリックして有効化してください。

証明書発行までの時間

上記の有効化してから、営業時間内で、特に問題がなければ、一時間くらいで証明書が発行され、証明書がメールで送られてきます。証明書の内容は、バリュードメインで確認できます。

サーバーに証明書をインストール

サーバーの準備・前提条件

ファイアーウォール関連の設定確認

firewalldでhttpsの接続を許可しているか
②サーバーのWEB管理画面などにあるファイアーウォールで443(https)ポートの接続を許可しているか

mod_sslとopensslが入っているかどうか

以下のコマンドで確認してください。 入っていない場合は、インストールしてください。

証明書の確認

バリュードメインの「SSL証明書の管理・延長」ページで、証明書を確認できます。
今回は、ここに書かれている「証明書」「中間証明書」「プライベートキー(パスフレーズ無し)」の3つをコピー&ペーストで利用します。

グローバルサイン社の説明ページ

SSLサーバ証明書FAQ:証明書のインストール方法
今回は以下を参照。
[インストール] Apache 2.x + mod_ssl + OpenSSL(新規・更新)

インストール手順

自分のサーバー内の証明書等があるディレクトリに移動。

パスワード付きのプライベートキーを作成

wwwありの場合 wwwなしの場合 パスワードを求められるので、パスワードを設定してください。(バリュードメインでCSRを作成した際に設定したパスワード) 以下は、wwwありの前提で説明(wwwなしの場合はwwwなしで進めてください)

パスワード解除したプライベートキーを作成

解除したプライベートキーのパーミッションを変更してください。 「www.example.com.nopass.key」の内容をバリュードメインの「SSL証明書の管理」ページにある、「プライベートキー(パスフレーズ無し)」の内容に全て置換してください。
vimコマンドで変更しても、ftpソフトで「www.example.com.nopass.key」を直接エディターで開いて変更してもどちらでもいいです。 cmd(ctl)+aなどで全選択して、全てコピーアンドペーストで貼り替えて保存してください。
パスワード解除したプライベートキーを作成が完了したら、パスワード付きのプライベートキーは削除しても問題ありません。

証明書の作成

cpコマンドを使って「/etc/pki/tls/certs」ディレクトリ内に既にあるlocalhost.crtを複製して「www.example.com.crt」というサーバー証明書を作成
※もちろんftpソフトなどで複製しても構いません。 「www.example.com.crt」というサーバー証明書の内容をバリュードメインの「SSL証明書の管理」ページにある、「証明書」の内容に全て置換してください。
vimコマンドで変更しても、ftpソフトで「www.example.com.crt」を直接エディターで開いて変更してもどちらでもいいです。
/etc/pki/tls/certsディレクトリに移動している場合 /etc/pki/tls/certsディレクトリにいない場合 cmd(ctl)+aなどで全選択して、全てコピーアンドペーストで貼り替えて保存してください。

中間証明書の作成

先ほどと同じように、cpコマンドを使って「/etc/pki/tls/certs」ディレクトリ内に既にあるlocalhost.crtを複製して「www.example.com.chain.crt」という中間証明書を作成
※もちろんftpソフトなどで複製しても構いません。 「www.example.com.chain.crt」という中間証明書の内容をバリュードメインの「SSL証明書の管理」ページにある、「中間証明書」の内容に全て置換してください。
vimコマンドで変更しても、ftpソフトで「www.example.com.crt」を直接エディターで開いて変更してもどちらでもいいです。
/etc/pki/tls/certsディレクトリに移動している場合 /etc/pki/tls/certsディレクトリにいない場合 cmd(ctl)+aなどで全選択して、全てコピーアンドペーストで貼り替えて保存してください。

ssl.confの設定

ssl.confの編集

vimでssl.confを開いてください。
もちろんftpソフトで直接開いて編集しても良いです。 以下の内容に変更してください。初期設定のところは#でコメントアウトしてください。
①ドキュメントルートとサーバーネームの設定。 ②証明書の設定 ③プライベートキーの設定 ④中間証明書の設定

再起動

ssl.confの内容変更後、保存して、最後にApacheを再起動してください。

SSlの更新・延長

まずは、バリュードメインの説明ページを一読してください。
https://www.value-domain.com/userguide/manual/ssl_update/

承認メールの確認

sslの承認メールが届くので、admin@example.comのようなメールが自分に届くかどうか前もって確認しておくこと。

CSRプライベートキーの作成

バリュードメインの延長ページでは、延長前のCSRを選択できるようになっているが、Google先生にお聞きするとセキュリティー上「新しくCSRを作成」したほうが良いみたいなので再作成します。
注意点は、①メールアドレスは不要②パスワードは必須(パスワードは再発行できないので必ず忘れないようにしなくてはならない)③コモンネームのところ、「www」の入れ忘れないようにすること。

サーバーバックアップ

証明書の上書き前に、予期せぬ不具合・ミスを防ぐためにもサーバーのバックアップを取るまたは確認をするようにしてください。

証明書の上書き

下記の3つのファイルをバリュードメインの新しい証明書の情報に上書き保存してください。

①パスワード解除したプライベートキーの更新

バリュードメインのページの「プライベートキー(パスフレーズ無し)」を利用してください。※プライベートキー(パスワードあり)を利用しないようにしてください。

②証明書の更新

バリュードメインのページの「一番上の証明書」を利用してください。※一番下にある証明書(PKCS7形式)を間違って利用しないようにしてください。

③中間証明書の更新

再起動

次にApacheを再起動してください。 ※ssl.confを変更する必要はありません。

確認

最後に、ブラウザで証明書が更新されているか確認してください。