StartCom でフリーのSSL認証

更新日2010-06-09 (水) 12:58:01

StartCom社(イスラエル?)は1年間フリーでSSLの認証局として認証してくれる。 ただし、サブドメインは不可のようだ。

ユーザの個人証明の登録

StartCom のサイトにアクセス(login)する為の個人証明書の発行処理を行う。これはこちらの身分を明らかにするためにおこなう。

上記のサイトにアクセスし、Sign-upをクリックして個人情報を順に登録していく。

途中でメール(Subject: Your Authentication Code)が届くのでこの本文中のYour authentication code をコピペして処理を続ける。 住所も番地まで必要入れすれたら足りないので送れというメールが来た

操作終了すると、入力情報の正当性確認をし、クライアント証明書を発行する URL と 確認コード をメール(Subject: StartSSL Account Request)で送ってきますのでメール本文中のURLにアクセスし、その中のコードをWebに入れる。

その後登録されたというメール(Subject: StartSSL Account Information)が届くのを待つ。

ブラウザーにインストールされた個人書証明書のバックアップをおこなう。
[IE8の場合]

ツール −> インタネットオプション −>コンテンツ−>証明書

目的のものをエクスポートしておく。

この証明書のあるブラウザでログインできる。

SSL証明書の発行を希望する自分のドメインの正当性確認

ドメインの管理アカウントの、webmaster、hostmaster、postmaster の何れかのメールアドレスに、StartCom から確認用のコードを送付し、web 経由で StartCom に送り返すことで、利用者により登録されたドメインが実際に存在し有効である事と、管理アカウント宛てのメールを見る事が出来る事で、ドメインと登録者の正当性が確認する

Vailidations Wizerd

「Vailidations Wizerd」を選択

Select ValidationではTypeで「Domain Name Valiidation」を選択

Enter Domain Nameでは「example.net」のように指定。サブドメインは不可

ドメイン所有権の検証のためのEメールアドレスを選択

Select the email address for verfication of domain ownership from below.  
Verification Email:  ○ postmaster@example.net
                     ○ hostmaster@example.net
                     ○ webmaster@example.net

選択されたアドレスにメール(Subject: Your Authentication Code)が送られるのでその中の認証用のコードをWebにコピペして作業を終了する

SSL証明書の発行の仕方

上記のページにアクセス「Certificates Wizard」をクリック

Certificates Wizard

Certificate Target:Web Server SSL/TLS Certificateを選択

Generate Private Keyでは「Skip」

ここで署名してもらう公開鍵を張り付ける。

次のページ(Certificate Request Received)で

You submitted your certificate signing request successfully!.
All content of the certificate signing request is ignored except its public key.
You may proceed to the next step now.

で続ける

Domainを選択

Add Domainsでサーバ名を指定

問題なければcrt を生成した趣旨のメール(Subject: Your Authentication Code)が送られてくる。その中にYour verification codeが入っている

Tool Box

再度、StartCom のサイトに login し、「Tool Box」を選択し「Retrieve Certificate」を選択する

Certificate: で目的のサーバを選択

承認済の公開鍵が表示されるのでコピーペースしファイル(myDomain_csr.pem)に保存

Apacheへ登録

中間証明書とルート認証局(CA)の証明書

ルート認証局(CA)の証明書 (ca.crt: http://www.startssl.com/certs/ca.crt) 中間認証局(sub.ca)の証明書 (sub.ca.crt: http://www.startssl.com/certs/sub.class1.server.ca.crt)

をDownload。ルート認証局(CA)の証明書 は設定しなくてもいいかも

Downloadしたファイルは DER 形式(バイナリファイル)なためPEM 形式(Text)に変換

$ mv ca.crt ca.der
$ openssl x509 -inform der -in ca.der -out ca.crt
$ mv sub.class1.server.ca.crt sub.ca.der
$ openssl x509 -inform der -in sub.ca.der -out sub.class1.server.ca.crt

Apacheへインストール

あとは

パスワード入力不要にするため

# openssl rsa -in key.pem -out site.key

# chmod 400 site.key

/etc/apache2/conf.d/httpd-ssl.conf

SSLPassPhraseDialog  builtin(確認)

SSLCertificateFile /etc/ssl/crt/sub.class1.server.ca.crt
SSLCertificateKeyFile /etc/ssl/crt/site.key
SSLCACertificateFile /etc/ssl/crt/SERVERNAME.ca-bundle

SSLCertificateChainFile /etc/pki/tls/certs/ca.crt(不要かも)

ちなみにStrtComには以下のように設定するように書いてあったので以下のように変更した。

SSLCACertificateFile /etc/ssl/crt/ca.crt   (ルート証明)

SSLCertificateChainFile /etc/pki/tls/certs/SERVERNAME.ca-bundle(中間証明書)

中間ファイル指定はSSLCertificateFile SSLCertificateChainFileのどちらかか不明

べりサインには

ルート証明書(ブラウザに標準で格納されています) 
  ┗ 中間CA証明書(取得製品専用の中間CA証明書をダウンロードし、ウェブサーバにインストールします) 
    ┗ サーバID(お客様のサーバID:取得後、ウェブサーバにインストールします) 

とあった

その後Apache再起動

参考

http://cryst.tv/experiment/StartComFreeSSL_Certificate/StartCom_Free_SSL_Certificate.html


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2010-06-09 (水) 12:58:01 (2936d)