startsslによる無料SSL認証局の導入

SSL認証は特定のメンバー向けなサイトが多かったので基本オレオレ認証でやってきたのですがどうも無料でSSL証明書を取れるらしいので使ってみました。

サインアップする前にドメインのwhoisに指定されているメールアドレスが受信できる必要があります。またCSRも事前作成しておくとスムーズに進みます。作業は大まかに分けると下記の手順があります。

  • StartSSLのアカウント作成
  • ドメイン認証
  • SSL申請

 

StartSSLのアカウント作成

01

まずはStartSSLのアカウント作成の手順から説明します。公式サイトにアクセスしたら「Start Now for Free SSL Certificate」をクリックします。

02

右側のSign upを選択します。

 

03

国を選択し、電子メールアドレスを入力します。ここで入力する電子メールアドレスはアカウント用なので、Whoisに合わせる必要はありません(むしろ違うアドレスを使うべきです)。国とメールアドレスを入力して「Send Veritication Code」をクリックします。ここをクリックすると認証コードが書かれたメールが届きます。そこに書かれているVerification Codeをコピーし、「Sign Up」をクリックし、先に進みます。

 

04 05

個人証明書の画面が出てきます。とりあえずOKを押して進めます。ひとまずアカウントの登録はここで終わりです。

 

ドメイン認証

06

ログイン用のメールアドレスを入力し、隣のボタンを押します。ワンタイムパスワードが発行され、メールが届きますので、そこに書かれた認証コードをコピー&ペーストしてログインします。

 

07

ログインするとこのような画面になります。ここからドメインを認証する手順になります。「Validations Wizard」をクリックします。

 

08

ドメインを認証する方法を選択します。whoisのメールアドレスが受信可能である場合は一番上の「Domain Validation」選択します。

 

09

認証に使うメールアドレスを指定します。whoisに記述されたアドレスの他にwebmasterなど一般的な管理用アカウントも選択する事ができます。認証コードを「Send Verification Code」ボタンを押したらそのアドレス宛にメールが来ますので、そこに書かれた認証コードをコピー&ペーストして「Validation」をクリックします。

 

10

ドメインの認証に成功すると上の画面になります。ドメイン認証の手順はここで終わりです。続けて「To “Order SSL Certificate”」をクリックしてSSLを申請する手順に進みましょう。

 

SSLを申請する手順

12

FQDN、CSRを貼り付けるだけで公開鍵が取得できるようになります。ここで取得した無料版SSL証明書はXXXX.domain.comとdomain.comでのみ有効です。複数のサブドメインで申請する場合はサブドメイン分申請が必要です。

13

画面を進めると公開鍵のダウンロードの画面になります。ファイルはパスワードなしのZIPファイルで提供されていました。Apacheの場合下記のように設定すれば大丈夫です。


SSLCertificateFile /path/to/certificate(公開鍵)
SSLCertificateKeyFile /path/to/private_key(秘密鍵)
SSLCertificateChainFile /path/to/1_root_bundle.crt(中間CA)

後はApacheを再起動すればSSLが利用可能になります。SSL証明書の有効期限は1年間で、長期の契約はできませんが、個人的に運営してるサイトで使う分には十分そうです。