2013年7月7日日曜日

RapidSSLを使ったSSL証明書の作り方

●全体概要

  • pem:中間証明書(RapidSSL共通の中間証明書。使い回し可)
  • csr:企業情報+ドメインを元に作成する。署名。SSL申し込み時にツールを使って自分でつくるもの。
  • key:企業情報+ドメインを元に作成する。秘密鍵。SSL申し込み時にツールを使って自分でつくるもの(csrとセットで作られる)
  • crt:SSL証明書を取得するときに、認証が終わった後にメールで届くもの。
    メールで受け取るためには、admin@ドメインでメールを受けれることが前提(他にもサーバにおまじないファイルを置く方法もある)

  
この4つのファイルのうち。
key
crt
pem
をアップして、httpd.confで設定すればOK。

おさらい

  • 最初から共通であるのが、pem   
  • つくるのは、csrとkey
  • もらえるのが、crt
  • サーバにあげるのが、pemとkeyとcrt


●Apacheの設定確認
OpenSSLとmod_sslが入っているかどうかを確認
rpm -qa|grep openssl
rpm -qa|grep mod_ssl

●Rapid-SSLから証明書を買う
http://www.rapid-ssl.jp/index.htm?q=rapidssl
▽特徴
・クレジットカードでも銀行振り込みでも変える
・メールを受信する仕組みがなくても、指定されたファイルのアップロードでドメイン所有者であることを確認してもらえる
・CSR作成ツールがあるのでopensslのコマンドライン作業が不要
▽注意点
・「秘密鍵のパスワード」を設定してしまうとApacheの再起動のたびにパスワードを聞かれるので不便。設定しないでいい。

●confの設定
・listenするポートを設定

●作ったファイルのチェック方法

・keyファイルが正しいかどうか
openssl rsa -in domainname.key -check -noout
⇒「RSA key ok」

・crtファイルの有効期限を調べる
openssl x509 -in domainname.key -noout -dates
⇒例)下記のように、出力される
notBefore=Jul  1 04:13:50 2013 GMT
notAfter=Oct  3 00:20:38 2015 GMT


●最後の最後にテストの方法
・ブラウザでhttpsにアクセスして、証明書の有効期間が更新されているかどうかを確認

●以下、RapidSSLフォーム入力手順例
                                                                                                             
■URL
http://www.rapid-ssl.jp/index.htm?q=rapidssl

■事前対応
・ドメイン取得
・DNSにゾーン追加
・apacheのconfを設定して、該当ドメインにhttpでアクセスできている

■手順
・Rapid SSL2600円、「新規お申込み」から申込み
・申込みの際して、CSRが必要で、CSRの作成に下記情報が必要

○CSR生成情報
 コモンネーム:取得したいドメイン
 正式組織名:社名英語表記
  ※whoisでコモンネームのドメインを検索して、ドメイン登録情報を入力
   http://whois.jprs.jp/
  ※参考:ドメイン所有者名(whois情報)と異なると発行が遅くなる場合があります
 部門名:SSL
  ※特に部門名がない場合は、ダミーでSSLと入力
 市区町村名:Sibuya-ku
 都道府県名:Tokyo
 国名:JP

・RapidSSLお申込み画面の注意事項を確認して、お申込みフォームへ
・お申込みフォームのCSR作成ツールからCSRを作成
 ※ https://www.rapid-ssl.jp/tools/makePkeyCsr2048.php
 ※任意の秘密鍵のパスワードは設定しない
・作成された秘密鍵、CSRはテキストに保存
・お申込みフォームに下記内容を入力して、お申込み内容確認へ

 パスワード:申し込みステータスを確認するためのパスワード
 ご契約期間:2年
 他社からの移転:いいえ
 CSRの貼り付け:上記生成したCSRを貼り付け
 サーバタイプ(任意入力):Apache+OpenSSL
 特別コード:入力なし

・内容を確認して次へ
・承認メールアドレス・お客様情報入力
 承認メール受信アドレス:「指定ファイルアップロードによる承認」を選択
 担当者名(日本語):自分の名前
 担当者英字氏名(名):mei
 担当者英字氏名(姓):sei
 担当者メールアドレス:mailaddress
 郵便番号(半角):999-9999
 住所(日本語):東京都千代田区千代田1−1
 電話番号(半角):03-9999-9999

 更新時期のお知らせ:希望する
 技術担当者/代行申請者:証明書管理者と同じ

 経理担当者:以下の情報
 請求先名称(日本語):経理担当の名前
 First Name(ローマ字名):sei
 Last Name (ローマ字姓):mei
 電話番号:99-9999-9999
 メールアドレス:mailadress

・お申込み確認へ
・お支払情報入力
・お支払方法:クレジットカード

・上記内容を入力後技術担当者にメールが届き、「指定ファイルアップロードによる承認」の作業フローが届く
 あとは、指定ファイルを指定された場所にアップすれば、メールでCRTが届く。

投稿者 時刻:

0 件のコメント:

コメントを投稿

登録: コメントの投稿 (Atom)