さくらのSSL経由でJPRSが発行するSSL証明書(ドメイン認証)の使い方

事前に自分でCSRを作成

今回は「バリュードメイン」でCSRを作成していますが、コンソールや他のサイトで作成しても構いません。

CSR作成

バリュードメインの「CSR作成」ページ上で「CSR」を新規作成してください。 入力欄全てに入力(英語)してください。 特に①「プライベートキーのパスワード」のところと、②「コモンネーム(ドメイン名)」のところを慎重に入力してください。 ①パスワードを忘れないようにメモに保存しておいてください。 ②コモンネームをwww.example.com(wwwあり)で申し込むとexample.com(wwwなし)も自動でついてきます。 ※wwwが必要ない方は、コモンネームをexample.comで申し込んでください。 ※なお部署の項目を未入力にしたらエラーになったので、hostmasterにしておきました。

CSRの確認

バリュードメインの「CSRの管理」ページで、 ①CSR ②プライベートキー[パスフレーズあり] ③プライベートキー[パスフレーズなし] を確認します。使用するのは、①CSRと③プライベートキー[パスフレーズなし]の二つだけです。

さくらのSSLでの手続き

JPRSに申し込む

さくらのsslのページで、「JPRSのSSL証明書」を申し込んでください。 ※さくらの会員でない方は、会員になる必要があります。

支払い情報入力ページ

クレジットカードとプラン(ドメイン認証990円)を選択して、次のCSR入力ページに遷移します。

CSR入力ページ

事前に自分(バリュードメイン)で作成した「CSR管理」ページで「CSR」をコピーして、さくらのCSR入力ページに貼り付け後に申込完了します。

申込完了

1、2分後に「[さくらインターネット]JPRS SSLサーバ証明書お申込受付完了のお知らせ(手続きの流れご案内)」という件名のメールが届きます。

サーバに所有者確認のファイルをアップロード

クレジットカード情報に間違いがなければ、さらに5分後に「SSLサーバ証明書 認証ファイルのアップロードのお願い」というの件名が届きます。 さくらの管理画面で「契約情報」の一覧から「サーバ証明書」ボタンをクリックしてドメイン所有者確認用の認証ファイルをダウンロードしてください。 ダウンロードした認証ファイル名は、「1e2fwoaoe2a2943ffeajfoeafoafakd.txt」みたいな感じでランダムな文字列(拡張子は.txt)になっています。 次に自分のサーバのドキュメントルートに「/.well-known/pki-validation/」ディレクトリを作成してください。 さくらの管理画面でダウンロードした認証ファイル「ランダムな文字列.txt」をサーバで作成したディレクトリにアップロードしてください。 (例) ※サーバのファイアーウォールやパケットフィルタ等で外部から接続(ポート80、443)を許可しておいてください。 ※httpd.confまたはvirtual.confの設定しておいてください。 wwwありの場合は、/etc/httpd/conf.d/virtual.confを以下のように設定。 Apache再起動

認証局が確認にくる

おそらく自動で認証局が先ほど自分のサーバにアップロードした認証ファイルが存在するか確認にきます(たぶん一時間以内)。 認証局の確認が済むと、「[さくらインターネット]JPRS SSLサーバ証明書発行のお知らせ」というメールが届きます。

SSLサーバ証明書をダウンロード

さくらの管理画面で「契約情報」の一覧から「サーバ証明書」ボタンをクリックすると、 「server.crt」という名称のSSLサーバ証明書ファイルがダウンロードされます。

中間証明書をダウンロード

ルート証明書・中間CA証明書について | JPRSのページで、ダウンロードしてください。 ※2019/12/5現在では「JPRS_DVCA_G3_PEM.cer」という名称でした。

自分のサーバに証明書を作成

①プライベートキー(パスフレーズなし) ②SSLサーバ証明書 ③中間証明書 上記3つを作成します。

①サーバでプライベートキー[パスフレーズなし]を作成

※以下、wwwなしの場合はwww.example.comのところをexample.comにしてください。 まずはじめに、自分のサーバー内の証明書等があるディレクトリに移動してください。

パスワード付きのプライベートキーを作成

パスワードを求められるので、パスワードを設定してください。(バリュードメインでCSRを作成した際に設定したパスワード)

パスワード解除したプライベートキーを作成

解除したプライベートキーのパーミッションを変更してください。※通常は、変更せずとも600です。 「www.example.com.nopass.key」の内容を事前にバリュードメインで作成した「CSRの管理」ページにある、「プライベートキー(パスフレーズ無し)」の内容に全て置換してください。 vimコマンドで変更しても、ftpソフトで「www.example.com.nopass.key」を直接エディターで開いて変更してもどちらでもいいです。 cmd(ctl)+aなどで全選択して、全てコピーアンドペーストで貼り替えて保存してください。
パスワード解除したプライベートキーを作成が完了したら、パスワード付きのプライベートキー(www.example.com.key)は削除してください。

②SSL証明書の作成

cpコマンドを使って「/etc/pki/tls/certs」ディレクトリ内に既にあるlocalhost.crtを複製して「www.example.com.crt」というサーバー証明書を作成 ※もちろんftpソフトなどで複製しても構いません。 「www.example.com.crt」の内容をさくらの管理画面でダウンロードした「server.crt」の内容に全て置換てください。 vimコマンドで変更しても、ftpソフトで「www.example.com.crt」を直接エディターで開いて変更してもどちらでもいいです。 cmd(ctl)+aなどで全選択して、全てコピーアンドペーストで貼り替えて保存してください。

③中間証明書の作成

先ほどと同じように、cpコマンドを使って「/etc/pki/tls/certs」ディレクトリ内に既にあるlocalhost.crtを複製して「www.example.com.chain.crt」という中間証明書を作成 ※もちろんftpソフトなどで複製しても構いません。 「www.example.com.chain.crt」の内容をルート証明書・中間CA証明書について | JPRSのページでダウンロードした「中間証明書」の内容に全て置換してください。 vimコマンドで変更しても、ftpソフトで「www.example.com.chain.crt」を直接エディターで開いて変更してもどちらでもいいです。 cmd(ctl)+aなどで全選択して、全てコピーアンドペーストで貼り替えて保存してください。

mod_sslとopensslをインストール

既に入っている場合は、新規でインストールする必要はありません。

ssl.confの設定

ssl.confの編集

以下の内容に変更してください。初期設定のところは#でコメントアウトしてください。 最初に、ドキュメントルートとサーバーネームを設定。 ①プライベートキーの設定 ②証明書の設定 ③中間証明書の設定

再起動

ssl.confの内容変更後、保存して、最後にApacheを再起動してください。