所有しているドメインの正当性やWebサイトの安全性を証明するのがSSLサーバ証明書である。本連載では、輸入家具を販売するショッピングサイトを例に、SSLサーバ証明書の導入を見ていく。今回は担当の佐々木君がWebのプロである柊さんの手伝いを受けて、いよいよSSLサーバ証明書の導入にチャレンジする。
SSLサーバ証明書の導入作業
エヌ・ファニチャのサイト担当者を任された佐々木君は、Web関連事業の会社から転職してきた柊さんといっしょに、ショッピングサイトの運営の準備を行なっている。しかし、なんだか証明書の導入でつまづいているようだ。
佐々木 うー。難しいなあ。
柊 どうしたの? サーバが到着したらしいじゃない。SSLサーバ証明書をさっそく発行してもらって、インストールしちゃいましょうよ。
佐々木 そうなんですけど、インストール作業ができるか不安で、雑誌とか、Webサイトとか調べていたら、ますます心配になっちゃって……。
柊 なににつまづいたのかしら?
佐々木 まず用語が難しいですよ。PKIとか、電子署名とか、暗号化アルゴリズムとか。あとは、電子証明書を発行してもらうにも、なんだかCSRと秘密鍵を出さなきゃ行けないって書いてありました。アルファベット3文字の謎の文書なんて作れないッス。
サーバ証明書登録のCSR作成でつまづく
柊 しょうがないなあ。じゃあ、順を追って説明していくわね。まずCSRだけど、これは「Certificate Signing Request」の略で、サーバ証明書の発行を求める署名要求ということよ。ディスティングイッシュネームを入力することで、公開鍵と秘密鍵のペアとCSRを作成できるわ。そのCSRを認証局に送って……。
佐々木 す、すいません。なんだかさっぱりわからないのですが……。
柊 ごめんなさい!いつもの癖で、はしょって説明しちゃったわ。
CSRってなに?
CSRは認証局が電子証明書を発行する際に必要な情報です。CSRを作成する際には、組織とWebサーバに関するいくつかの情報をユーザーが登録する必要があります。たとえば、URL(コモンネーム)や組織名、部署名、所在地、都道府県、国などの情報で、「ディスティングイッシュネーム」と呼びます。ただし、これらは半角英数文字と一部の記号だけ利用できます。
CSRの作成はWebサーバごとに手順が異なりますが、IISのようなウィザードで生成できるものもあります。CSRと同時に、公開鍵と秘密鍵のペアが生成されますので、秘密鍵は紛失などを防ぐためにバックアップを行なっておき、公開鍵が含まれるCSRは認証局に提出します。認証局は提出されたCSRを元に電子証明書を生成し、電子署名を付与します。これを受け取ったユーザーがWebサーバにインストールすることで、電子証明書は効力を発揮するようになるわけです。
スキップ申し込みサービスでCSR作成は不要
佐々木 なるほどねえ。じゃあ、やってみますか。
柊 でも、グローバルサインのSSLサーバ証明書のスキップ申し込みサービスを使えば、CSRを作成しなくても、申し込めるのよ!
佐々木 なんだ、早くいってくださいよ。じゃあ、Webページを見ながらやってみましょう。Webサイトを開いて、申し込みフォームに入力すればいいんですよね。サービスやオプションの選択、次に私たちの組織情報を入力していくと……。ん?「GSパネル」って?
柊 なんだか、管理ツールみたいよ。
佐々木 なるほど。あとはコモンネームやカントリーを入れて、承認を受けるメールアドレスを選択と。支払い方法を選択すればOKですね。
柊 あとはグローバルサイン側でCSRと秘密鍵を生成してくれるので、さっき選択したアドレス宛に届くメールに従って承認すれば発行されるわ。
佐々木 おっ、来たぞ。最短2分を謳うだけあって速いですねえ。次はどうすればいいんですか?
柊 メールのリンクをたどって、GSパネルにログインしたら、PKCS#12形式のファイル(秘密鍵と証明書の組み合せ)をダウンロードして。暗号化されているから、開く時は先ほど登録したパスワードで解錠して。
佐々木 おっ、ちゃんと証明書ができたみたいです。柊 あとはWebサイトに載っている手順に従って、サーバに証明書をインストールすれば大丈夫よ。
佐々木 意外と簡単でした。案ずるより産むが易しですねえ。
図 通常の申請とグローバルサインのスキップ申込サービス
こうしてエヌ・ファニチャでは、スキップ申し込みサービスを使うことで、問題なくSSLサーバ証明書の導入に成功した。では、導入後のサーバ運用や更新はどうだったのだろうか? 次回に続く。
この連載の記事
-
第3回
TECH
SSLサーバ証明書の更新ってどうするの? -
第1回
TECH
SSLサーバ証明書ってどんなもの? - この連載の一覧へ