よたかの日記を兼ねたブログです
 あっちこっちケイイチ

よたかの日記を兼ねたブログです

  2. サーバーライフ
  3. 勇者なら、Global SSLを使うのが良いかと

勇者なら、Global SSLを使うのが良いかと

よたか2012.05.27 05:34:25

円高も手伝って、今や700円/年そこそこまで価格が落ちた、Global SSLですが、一応は使えるので、便利に使っております。
Pleskに設定するのはあまり気にならなかったけど、Apacheに設定するのは、ちょっと手間取る感じ。

英語でのやり取りなので細かいニュアンスまでわからないのですが、
どうやら、先方に渡す「CSR」に何かしらあるようです。

SSLを設置する大まかな手順として、

 # openssl genrsa -out hogehoge.key 2048
こちらで作成した「秘密鍵(webminでは、プライベート鍵)」を作成して、

 # openssl req -new -key hogehoge.key -out hogehoge.csr
作成した「秘密鍵」を元に、CSR(署名要求:Certificate Signing Request)を発行します。
以下の内容を聞かれるので、半角英数で入力します。

 Country Name:JP 国名
 State or Province Name:Aichi-ken 都道府県
 Locality Name:Nagoya-shi 市区町村
 Organization Name:Hanamachi Ya 会社名
 Organizational Unit Name:web1 部署
 Common Name:hanamarl.com ドメイン名
 Email Address: 空白
 A challenge password: 空白
 An optional company name: 空白

こんな感じで作成できるので、CSRの方をGlobal SSLへ送りつけました。
※秘密鍵は絶対表に出さない事! あくまで秘密で……。

メールの確認やら、チェックがあって、
CRTコードと、CAコードが送られてきます。

さてココからが問題です。

PLeskでやったときは、ほとんど問題なく、このまま使えたのですが、
Apacheだと使えるまで少し時間がかかってしまいます。

理由はわかりません。

とりあえず、それぞれのコードをチェックします。

https://confirm.globessl.com/key-matcher.html

ここで、CSR x CRTと、CRT x 秘密鍵 をチェックできます。

私の場合、マッチしなかったので、サポートへ、スクリーンショットを送ったら、そのままのコードで使えるようになりました。
なんか向こうでやった様な気がします……。

最終的に、CSRは使わないので、
 CRT x 秘密鍵 だけマッチすれば、サーバーにセットしちゃって構いません。

CRTと、CAファイルをサーバーの「秘密の場所」にアップロードします。
 hogehoge.crt
 hogehoge.ca

なぜ、秘密の場所かというと、気休めです。
秘密にして置いても、confファイルに書いてますしね……。


Webminに設定する
私はWebminを使ってますので、WebminのSSLもやっちゃいました。

 Webmin > Webmin設定 > SSL暗号化

   プライベート鍵ファイル:hogehoge.key
   証明書ファイル:◉別のファイル:hogehoge.crt
   追加証明書ファイル:hogehoge.ca

おかげで、オレオレ認証じゃないので、ログインする時気持ちいいです。
 可能であればSSLを使用可能にしますか?:◉はい

さて、ここで勇気があれば、こうしましょう。
これで、SSL以外のログインが挙止されます。

つまり、設定がうまくいってないと、ログインできなくなります。
そんな時は、
sshでアクセスして、
 /etc/webmin/miniserv.conf の、ssl=1 を、ssl=0にしてください。

Apacheに設定する

この項目で、下記3行を追加します。
※ファイル名と、ディリクトリは適当にあわせてください。

 <VirtualHost *:443 >

   SSLCertificateKeyFile hogehoge.key
   SSLCertificateFile hogehoge.crt
   SSLCertificateChainFile hogehoge.ca

 </VirtualHost >

これで、リスタートすると、上手く起動してくれます。

新サーバーにやっとSSLを設定したので、Facebookアプリ作れそうです。

勇者なら、Global SSLを使うのもよいかと
国内で、SSL設置するとなると、1万円は必要だし、安くても3,000円くらい掛かってしまいます。
そこで、わたしは、アメリカの低価格SSLを使っているんですけど、多分、日本のベンダーよりも親切だと思います。

Yahooの翻訳使った、たどたどしい英語に、毎回ちゃんと返事してくれてたし、
失敗しても、何度でも再発行してくれたんです。
(日本のベンダーさんで拒否された事あったんですよ……)

ルーズと言えなくもないけど、小規模な場面で使うのなら、手頃な価格だと思います。

私の場合、Facebookアプリ作りたいので、SSL使ってるんですけど、
Webminの管理画面でアラートが出てこないのが嬉しいです。
最近、30日使える、お試しSSLもあるみたいなので、一度試してみても良いかもしれませんね。

以上、グローバルSSLのおぼえでした。