SSL忘備録
SSLについて
1年ごとに更新が必要。「秘密キー」の部分がかなり重要。
※更新ボタンがない。更新といいながら、新規に発行している感じがする・・
【結論・はまり部分】
秘密キーの設定、発行、更新のタイミングではまる。
・秘密キーを新規発行するのか?更新するのか?によって変わる
・更新する場合、秘密キーを新規発行して証明書をアップロードすると、ダメ。
・更新の場合は、古い秘密キーをダウンロードして、新しい設定にそのキーを利用する事。
・申し込みの時点で、新規⇒新しい秘密キーを発行
・申し込み時点で、更新⇒古い秘密キーを利用する(自分でダウンロードして利用する)
CSRは任意なので、あまり関係がない。(必須ではない)
・オンラインで受け付けしてしまうと、サーバーを確認するファイルを設定するところからスタートになる。
・中間証明書は発行されているものをダウンロードするだけでよい。個人的に発行するわけではない。
■古いのを捨て、新しいSSLを設定しなおすのか?
そうらしい。
疑問点
・新規と更新でやり方が違うと書いてあるが
・更新するボタンがなく、「新規」をやるしかない・・・
(なんでこんな仕様になっているのか?謎すぎる)
・古い画面からでしか、更新ができない・・・
・サーバー証明書ってなに?
・990円支払うと、さくらインターネットは何をしてくれるのか?が不明。
⇒無料ではない、JPRSの発行するSSLを利用できるだけ
JPRSとは?・・・ドメインを発行している会社のようだ。
具体的な手順
何をするのか?
SSL JPRS ドメイン認証型 RS(1年)の更新必要
■やってみたこと
・ファイル認証(ドメイン所有者の確認。具体的には特定ファイルをFTPを通じてアップロードをする)
・前回のCSRをダウンロードして、なにやら、謎の文字列を入力。
・支払いができたが、完了はしていない。
・ステータスが申し込み中になっている。どうすのか?わからない。
申し込み⇒準備中 に変わる。
【現在はここ】
・サーバー証明書が発行されたのに、登録ができない。
現状について
料金を払う事はできた。
JPRSなんちゃら、990円というものを申し込んだようだ。
前回は、国の名前などを入れてないように見える。
前回とCSRが違う。具体的には、住所を登録している。これは大丈夫なのだろうか?
という表示があるが、SSL証明書の「インストール」という意味がわからない。
(たぶんだが、さくらインターネットのコンパネからインストールするという意味ではないだろうか)
この場合、インストールではなく、登録と書かないと意味が通じないと思う。
このあたりが、かなり使いずらい。
■これが秘密キーというやつらしい
何に使うのか?
どこに申請するときに使うのか? 不明
chinが中間証明書
serverが「サーバー証明書」
一番右が「秘密キー」のようだ。
秘密キーは、テキスト(文字列)で作られている。
認証が出来てないと通知が来る
さらに、追記ではまった部分↓↓
ファイル認証とは?
1.認証ファイルのダウンロード
『ファイル認証』とは、認証ファイル (※1) が申請対象のFQDN(コモンネーム)配下(自分のサーバー)に配置(アップロード)されたことを 認証局が検知 (※2) すると、SSL証明書が発行される仕組みらしい。
そして、SSL証明書が認証局から発行されたら、さくらインターネットのパネルから、さくらインターネットの中に登録する仕組みになっているらしい。
■手順
会員メニューより証明書をDLする。
2.認証ファイルをアップロードする
フォルダを作り、ダウンロードした認証ファイルをアップロードする
http://[ルートドメイン名]/.well-known/pki-validation/[ランダムな文字列].
txt
これで、「認証局というところで」証明書を発行してくれるらしい。
■承認が完了したら
1.証明書のダウンロード
2.中間CA証明書のインストール(外部)
ここでさらにエラー
次は、証明書のエラー
送信されたデータは、このサーバで利用できない証明書です |
と次はエラーが出ます。
※忘備録
秘密キーを新規に発行するのか? 古いものを使うのか?で分かれている。
もしエラーになる場合、新しく秘密キーを作ったことに問題があるので、古いものを使いましょう。
逆もしかりです。古い秘密キーで登録できない場合、新しい秘密キーで登録しましょう。
■一致しないエラー
証明書とドメインまたは秘密鍵の設定が一致しません
1.コモンネームとドメイン名を確認する
⇒大丈夫。
CSRを再作成する。
CSRには「公開鍵」の情報が含まれます。
公開鍵が、発行済みの別の証明書で使用されている場合、作ったCSRではお申し込みできない。
とりあえず解決できた
設定が出来ない原因。
秘密キーを新しく生成してしまうと、古い設定から更新する事ができない。
つまり、古い秘密キーを受け継ぐ方法で、SSLの更新を申し込んだにも関わらず、あたら行く秘密キーを作ってしまい証明書の更新を仕様としたのが玄以でした。
ドメイン認証の申し込み
2パターンあるらしい。
・レンタルサーバーから
・オンラインから??
https://ssl.sakura.ad.jp/flow/update/
※前回と同じサーバーで証明書を利用する場合。コントロールパネルからお手続きください。
証明書発行後、自動的にインストールされます。(何がインストールされるのか不明??)
【考察】
オンラインってなんだよ・・・って感じです。
どちらもオンラインだろ・・・
結局は何をするのか?
結局何をしたらいいのか?
・証明書の発行するために、特殊なファイルをダウンロードとアップロードをして、所有を確認させる。
・認証局より発行された証明書のDL(更新に使う)
・秘密キーのバックアップ
・前回の登録情報の確認
・更新
・支払い
1. サーバーにアクセス 2. SSL証明書の更新ボタンを押す 3.新しい設定の作成をクリック 4.秘密キーのバックアップをする 5.キーを生成する 6.以前申請した情報を調べる ・ドメイン、会社名、など。 7.CSRを作成する 8.www.をつけて申請する
|
JPRSとは?
正式なSSL証明書らしい。
990円/年
認証の種類
ドメイン・・・ウェブサイトのドメインの使用権を所有していることを認証します。 組織の実在性は確認しないため、登記簿謄本などの提出は不要、個人事業主の方でも証明書の申請が可能です。
証明書とは?
SSLサーバ証明書は
1.ウェブサイトの「運営者の実在性を確認」し
2.ブラウザとサーバ間で「通信データの暗号化」を行うための電子証明書で、認証局から発行されます。
SSLサーバ証明書には
・ウェブサイトの所有者の情報 ・暗号化通信に必要な鍵 ・発行者の署名データ |
が含まれています。
導入の流れ
申し込みをする
CSRを作成する
認証局へ申請する
証明書をインストール
SSLの有効化をする
CSRとは?
Certificate Signing Request。
「公開鍵情報」+「所有者情報」でできています。
暗号化されたコードです。キーペアを事前に作る必要がある。
CSRは、「-----BEGIN CERTIFICATE REQUEST-----」で始まり、
「-----END CERTIFICATE REQUEST-----」で終わる「REQUEST」が 含まれる暗号文字列です。
CSRの確認方法とは?
1. WebページにSSL接続し(httpsでアクセスする)、 アドレスバーにある鍵マーク
をクリックします。
2.「証明書の表示」、「詳細を表示」、または「証明書(有効)」をクリックすると証明書画面が表示されます。
「詳細」の「サブジェクト」または「Subject」をクリック。
CN = ekokuukan.com
秘密キーのバックアップ
「 秘密鍵のダウンロード(バックアップ)」機能を利用で、のパソコンへ秘密鍵を保存できます。
大事なこと
1. 秘密鍵は削除/紛失しないこと 2. 中間証明書は忘れずに設定すること 3.設定完了後はSSLチェッカーを利用して確認すること |
この3つだけは大事なので覚えておきましょう。
前提条件
証明書のインストールは自分でする。(なんの証明書?)
秘密キーは自分で保管する
1. 秘密鍵(以下、秘密鍵A)のバックアップ
2. CSRの作成
3. JPRS DVSSLのお申し込み
作成したCSR情報で、JPRS DVSSLを申し込みします。
流れについて
チェック方法
SSLチェッカー
中間証明書とは?
ルート証明書とは?
ブラウザ側に必要な証明書。
ルートCA証明書は、ブラウザからサーバに接続するときに、サーバ証明書の階層構造を検証します。
中間証明書はルート証明書への攻撃を防ぐ。中間証明書の発行はセキュリティを高める。
ルート証明書をオンラインで使用することは情報が漏洩する可能性がある。
そこで中間証明書が「ルート証明書」と「SSLサーバー証明書」の仲介としてオンラインで認証局の検証を行うことで、セキュリティを高めている。
秘密キーとは?
暗号化通信を行う上で非常に重要なファイル。
認証局もSSL証明書の販売サイトも「秘密鍵」を保持していない。紛失/削除してしまうと二度と同じものを作ることができない。
ゆえに、自分で保管する事が大事。
確認方法とは?
何に使われるのか?
秘密鍵は「SSL証明書」の認証に使われるファイル。
「このドメインはなりすましをされていません」という証明に利用されています。
「秘密鍵」と「SSL証明書」はセットで存在しています。秘密鍵が無いとSSL証明書は利用できません。
SSL証明書を再発行することは可能です。
しかし、秘密鍵をサーバー側で再度作成する必要があります。その後CSRも再作成することになるため、前回発行したSSL証明書は利用できなくなります。
Let's Encrypt
Let's Encryptという無料のSSLがある。
誰でも発行できる無料のSSLサーバー証明書
参照サイト
大変申し訳ありませんが、当社ではサービスの質を落とさないために、月の契約は5件までとさせていただいております。 契約をお待ちいただく可能性もございますので、ご了承のほどよろしくお願いいたします
この記事を読んだ人は、こんな記事も読んでいます
SEO対策の基本 外部要因とは?
SEO対策の基本的である、外部要因とは何か?
SEO対策をするなら絶対に知っておきたい、基本知識です。
売れるサイトを作るのに知って起きたい知識
サーチエンジンマーケティングという言葉をご存知でしょうか?
ホームページで商品やサービスを売る時に知っておきたいマーケティング
についてご紹介いたします。
SEO対策をする5つのメリットとは?
なぜ上位表示させることが大事なのか?なぜSEO対策をする必要があるのか
についてご紹介させていただきます。
SEO対策の内部要因とは?
上位表示させるためには、内部要因について知っておくことも大事です。
キーワードを上位表示させるために必要なのは、ソースコードを最適化することです
内部要因の対策について知りたい方はこちらへ
キーワード対策をする前に
そのキーワード対策。ちょっと待ってください。
そのまま対策をすると、必ずお金を損してしまいます。個人事業主や中小企業は
そんな大きなキーワードで対策をしてはいけません。
広告費用が高くなる本当の理由とは?
売れないサイトに集めていませんか?広告費用がかかるわりには
お問い合わせが少ない・・・と感じる方は多いはずです。
購入率の悪いサイトに集客をしている可能性があります。
