03) 独自認証SSLの設定
ここでは、独自認証SSLの申請や設定をすべてお客さまにて行う場合の、サーバー側の作業内容をご案内いたします。
2) お客さまにて電子認証業者と契約
3) 電子認証業者より発行されたcert証明書をサーバにインストール
全て英語表記の情報が必要です。
サーバーにSSH接続を行います。
※「% 」はその行がコマンドであることを表す記号です。「% 」は入力しないでください。
以下のコマンドで、SSL証明書用のディレクトリ「ssl」を作成します。
既にSSLをインストールしたことがある場合には、上記ディレクトリが作成済みです。その場合には、「ssl」ではなく「ssl_2010」など別名のディレクトリを作成してください。ディレクトリは上書きされないようご注意ください。
上記で作成したディレクトリに移動します。
秘密鍵を作成します。
CSR発行のコマンドを実行します。
秘密鍵から、CERT用パスフレーズ解除の鍵ファイルを作成します。
以上で、CSRの発行が完了します。
以下のコマンドでディレクトリを閲覧し、「ssl.csr」「privkey.pem」が作成されていることを確認します。
「privkey.pem」の情報を電子認証業者に提出する必要はありません。このまま設置しておいてください。
電子認証業者と契約を行う際、上記の「ssl.csr」が必要になります。
以下コマンドで「ssl.csr」の中身を取得します。
以下のようにファイルの中身が表示されます。
この内容は絶対に変更せず、改行の状態が変わったり、余白、タブなどが挿入しないようご注意ください。
このCSR情報を添えて、電子認証業者とご契約ください。
電子認証業者よりcert証明書が発行されたら、次の項目を参考にサーバーへインストールを行います。
以下は例です。実際の証明書ではございません。
この証明書を、CSRを発行したディレクトリに設置します。
viコマンドによる編集画面が開いたら、コピーしたcert証明書の情報を貼り付けssl.certとして保存します。
次に以下のコマンドを入力します。
同ディレクトリ内に「ssl.pk」というファイルが生成されます。
続けて以下のコマンドを実行します。
確認コマンドを実行します。
以上で証明書のインストールが完了します。
登録したコモンネームでSSL接続が可能になっているかどうかをご確認ください。
※クイック認証SSLオプションをお申し込みの場合には、当ページの作業はすべて弊社にて請け負いますので、お客さまでの作業は不要です。
※独自認証SSLを利用するには、3つの方法があります。詳細はこちらをご参照ください。
※独自認証SSLを利用するには、3つの方法があります。詳細はこちらをご参照ください。
独自認証SSL利用の流れ
1) サーバよりCSR発行2) お客さまにて電子認証業者と契約
3) 電子認証業者より発行されたcert証明書をサーバにインストール
1)と3)の作業は、コマンド操作にて行います。このページでご案内する作業は、SSH接続やコマンド操作、「vi」コマンドの利用が可能なお客さまを対象としています。作業がご不明な場合には、設定代行オプション「独自SSL」をお申し込みください。
CSRの発行
CSRの発行にあたり、事前に以下の情報をご用意ください。全て英語表記の情報が必要です。
| 項目名 | 例 | 説明 |
|---|---|---|
| Country Name (国名) | JP | 国別コード(2バイト) |
| State or Province Name (都道府県名) | Tokyo | 英語表記で、ドメイン登録情報と同じもの |
| Locality Name (市町村名) | Shibuya | 英語表記で、ドメイン登録情報と同じもの |
| Organization Name (組織名) | Example | 英語表記で、ドメイン登録情報と同じもの |
| Organizational Unit Name (部署名) | Example Department | 英語表記で、ドメイン登録情報と同じもの 無ければ空白 |
| Common Name (コモンネーム) | www.example.com | 登録するSSL接続のドメイン名です。 |
| Email Address (メールアドレス) | example@example.jp | ドメイン登録情報と同じもの |
| Domain (ドメイン名) | example.com | ドメイン名 |
サーバーにSSH接続を行います。
※「% 」はその行がコマンドであることを表す記号です。「% 」は入力しないでください。
以下のコマンドで、SSL証明書用のディレクトリ「ssl」を作成します。
既にSSLをインストールしたことがある場合には、上記ディレクトリが作成済みです。その場合には、「ssl」ではなく「ssl_2010」など別名のディレクトリを作成してください。ディレクトリは上書きされないようご注意ください。
% mkdir ~/ssl
上記で作成したディレクトリに移動します。
% cd ~/ssl
秘密鍵を作成します。
% openssl genrsa -des3 -out privkey.pem 2048
Generating RSA private key, 2048 bit long modulus
...................+++
.......................................................................................+++
e is 65537 (0x10001)
Enter pass phrase for privkey.pem:マスターユーザーIDを入力します。
Verifying - Enter pass phrase for privkey.pem:マスターユーザーIDを入力します。
Generating RSA private key, 2048 bit long modulus
...................+++
.......................................................................................+++
e is 65537 (0x10001)
Enter pass phrase for privkey.pem:マスターユーザーIDを入力します。
Verifying - Enter pass phrase for privkey.pem:マスターユーザーIDを入力します。
CSR発行のコマンドを実行します。
% openssl req -new -key privkey.pem -out ssl.csr
Enter pass phrase for privkey.pem:マスターユーザーIDを入力します。
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----Country Name (2 letter code) [GB]:JP
↑国別コードを入力します。
State or Province Name (full name) [Berkshire]:TOKYO
↑都道府県名を入力します。
Locality Name (eg, city) [Newbury]:SHIBUYA
↑市・区名を入力します。
Organization Name (eg, company) [My Company Ltd]:GMO CLOUD K.K.
↑組織名を英語表記で入力します。
Organizational Unit Name (eg, section) []:RSJ Dept
↑部署名を英語表記で入力します。
Common Name (eg, your name or your server's hostname) []:DOMAIN-NAME.COM
↑SSL接続時に利用するドメイン名を入力します。
Email Address []:info@example.com
↑担当者のメールアドレスを入力します。
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:[ENTER]
An optional company name []:[ENTER]
Enter pass phrase for privkey.pem:マスターユーザーIDを入力します。
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----Country Name (2 letter code) [GB]:JP
↑国別コードを入力します。
State or Province Name (full name) [Berkshire]:TOKYO
↑都道府県名を入力します。
Locality Name (eg, city) [Newbury]:SHIBUYA
↑市・区名を入力します。
Organization Name (eg, company) [My Company Ltd]:GMO CLOUD K.K.
↑組織名を英語表記で入力します。
Organizational Unit Name (eg, section) []:RSJ Dept
↑部署名を英語表記で入力します。
Common Name (eg, your name or your server's hostname) []:DOMAIN-NAME.COM
↑SSL接続時に利用するドメイン名を入力します。
Email Address []:info@example.com
↑担当者のメールアドレスを入力します。
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:[ENTER]
An optional company name []:[ENTER]
秘密鍵から、CERT用パスフレーズ解除の鍵ファイルを作成します。
% openssl rsa -in privkey.pem -out ssl.pk
Enter pass phrase for ssl.pk:マスターユーザーIDを入力します。
writing RSA key
Enter pass phrase for ssl.pk:マスターユーザーIDを入力します。
writing RSA key
以上で、CSRの発行が完了します。
以下のコマンドでディレクトリを閲覧し、「ssl.csr」「privkey.pem」が作成されていることを確認します。
% ls -la
total 3
drwxr-xr-x 2 ウェブadmin vuser 512 Dec 22 13:36 .
drwx------ 10 ウェブadmin vuser 512 Dec 22 13:35 ..
-rw-r--r-- 1 ウェブadmin vuser 963 Dec 22 13:45 privkey.pem
-rw-r--r-- 1 ウェブadmin vuser 741 Dec 22 13:45 ssl.csr
total 3
drwxr-xr-x 2 ウェブadmin vuser 512 Dec 22 13:36 .
drwx------ 10 ウェブadmin vuser 512 Dec 22 13:35 ..
-rw-r--r-- 1 ウェブadmin vuser 963 Dec 22 13:45 privkey.pem
-rw-r--r-- 1 ウェブadmin vuser 741 Dec 22 13:45 ssl.csr
「privkey.pem」の情報を電子認証業者に提出する必要はありません。このまま設置しておいてください。
電子認証業者と契約を行う際、上記の「ssl.csr」が必要になります。
以下コマンドで「ssl.csr」の中身を取得します。
% more ssl.csr
以下のようにファイルの中身が表示されます。
-----BEGIN CERTIFICATE REQUEST-----
MIIB6TCCAVICAQAwgagxCzAJBgNVBAYTAkpQMQ4VUb2t5bzEQMA4G
A1UEBxMHU2hpYnV5YTEQMA4GA1UEChIElMCMGA1UECxMcUmFwaWRz
aXRlIE9wZXJhdGlvbiBkaXZpc2lvbjEYMBYGA1UEAd3LmV4YW1wbGUuY29t
MSQwIgYJKoZIhvcNAQkBFhV3ZWJtYXN0hhbXBsZS5jb20wgZ8wDQYJKoZI
hvcNAQEBBQADgY0AMIGJAoGBALkv1Kjc9issPrlc/QAdzVu2w1gj9JoUjl
FBLRI7CLe52dx4BGJkv3LxrvGt3nF707jTheFNCK2/JHWpp8/+OCOA4Yng
qDPbAKp0gMKwHLkEeZpztMEIKWFAfwGQxytajik9AML9dXk+KdMiNnj1t
iXPFAgMBAAGgADANBgkqhkiG9w0BAAOBgWKXEHmK6KcAtOoa0ydm9
fjm9Mu1dNglnfJMHphHpcG+Qxotn6p5qcL/7QORYeZGPY9CYS38gyZpJ
/cmoT7PMVjCxvGrk2j+QSuSv2ZudLIuXjHnoyjzdCMxj5q/8AyOOhK/av
FturwaMT8VdmC5tFjA==
-----END CERTIFICATE REQUEST-----
上記をすべて選択、コピーし、別途テキストファイルに保存します。MIIB6TCCAVICAQAwgagxCzAJBgNVBAYTAkpQMQ4VUb2t5bzEQMA4G
A1UEBxMHU2hpYnV5YTEQMA4GA1UEChIElMCMGA1UECxMcUmFwaWRz
aXRlIE9wZXJhdGlvbiBkaXZpc2lvbjEYMBYGA1UEAd3LmV4YW1wbGUuY29t
MSQwIgYJKoZIhvcNAQkBFhV3ZWJtYXN0hhbXBsZS5jb20wgZ8wDQYJKoZI
hvcNAQEBBQADgY0AMIGJAoGBALkv1Kjc9issPrlc/QAdzVu2w1gj9JoUjl
FBLRI7CLe52dx4BGJkv3LxrvGt3nF707jTheFNCK2/JHWpp8/+OCOA4Yng
qDPbAKp0gMKwHLkEeZpztMEIKWFAfwGQxytajik9AML9dXk+KdMiNnj1t
iXPFAgMBAAGgADANBgkqhkiG9w0BAAOBgWKXEHmK6KcAtOoa0ydm9
fjm9Mu1dNglnfJMHphHpcG+Qxotn6p5qcL/7QORYeZGPY9CYS38gyZpJ
/cmoT7PMVjCxvGrk2j+QSuSv2ZudLIuXjHnoyjzdCMxj5q/8AyOOhK/av
FturwaMT8VdmC5tFjA==
-----END CERTIFICATE REQUEST-----
この内容は絶対に変更せず、改行の状態が変わったり、余白、タブなどが挿入しないようご注意ください。
このCSR情報を添えて、電子認証業者とご契約ください。
電子認証業者よりcert証明書が発行されたら、次の項目を参考にサーバーへインストールを行います。
cert証明書のインストール
電子認証業者との契約が完了すると、以下のようなcert証明書が発行されます。以下は例です。実際の証明書ではございません。
-----BEGIN CERTIFICATE-----
HIID6zCCA1SgAwIBAggjrpeurtiasuerjtcWPSQYJKoZIhvcNAQEFBQAw
gYEAvDj84trOc+R+mBOQptMZ1dSRiFx3Zep5tF3YP8jkW5jh8e8sd
Ly9jcmwuY29tb2RvamFwYW4uY29tL0NvQ0EuY3JsMDOgMaAvhi1o
DwGDVQQLEwhJbWFpenVtaTEmMCQJvdmlkZWQgYnkgQ29tb2RvIEph
cGFuIEluYy4xJDAiBgNVBAsTG0NvbW9kbiBFbnRlcnByaXNlIFNTTDEW
MBQGA1UEAxMNd3d3LmRtZi1lLmNvbTCkiG9w0BAQEFAAOBjQAwgYkC
gYEAvDjH4trOc+R+GGOQptMZ1dSRiFx363hp5tF3YP8jkW5jh8e8sd
X5jhWLdCLgOb2wxhkGpmQ7X9OKTEZtO3CMyBvSo7pankGXetpG
MEYGA1UdIAQ/MD0wOwYMKwMQECAQwYBBQUHAgEWHWh0dHBz
Oi8vc2VjhdXJlmNvbW9kby5uZXQvQ1BTMGkwMqAwoC6GLGh0dHA6
Ly9jcmwuY29tb2RvamFwYW4uY29tL0Nv0EuY3JsMDOgMaAvhi1o
dHRwOi8vY3JsMi5jbHHHHH9qYXBhbi5jb20YW5DQS5jcmwwDQYJ
KoZIhvcN98989898gYEAUeC0SdtTccG5Ctt1fVXUBfeufONxqzZj4ralk
xJOuASIw31UlVfrDbXZ5IGYAXjvNSy6Y0hHFqHXIMpPTw9EEagG
K42+44GitTyxh+YGdUxC+4erywrtywry3wAR0OgPoAY84Txms=
-----END CERTIFICATE-----
HIID6zCCA1SgAwIBAggjrpeurtiasuerjtcWPSQYJKoZIhvcNAQEFBQAw
gYEAvDj84trOc+R+mBOQptMZ1dSRiFx3Zep5tF3YP8jkW5jh8e8sd
Ly9jcmwuY29tb2RvamFwYW4uY29tL0NvQ0EuY3JsMDOgMaAvhi1o
DwGDVQQLEwhJbWFpenVtaTEmMCQJvdmlkZWQgYnkgQ29tb2RvIEph
cGFuIEluYy4xJDAiBgNVBAsTG0NvbW9kbiBFbnRlcnByaXNlIFNTTDEW
MBQGA1UEAxMNd3d3LmRtZi1lLmNvbTCkiG9w0BAQEFAAOBjQAwgYkC
gYEAvDjH4trOc+R+GGOQptMZ1dSRiFx363hp5tF3YP8jkW5jh8e8sd
X5jhWLdCLgOb2wxhkGpmQ7X9OKTEZtO3CMyBvSo7pankGXetpG
MEYGA1UdIAQ/MD0wOwYMKwMQECAQwYBBQUHAgEWHWh0dHBz
Oi8vc2VjhdXJlmNvbW9kby5uZXQvQ1BTMGkwMqAwoC6GLGh0dHA6
Ly9jcmwuY29tb2RvamFwYW4uY29tL0Nv0EuY3JsMDOgMaAvhi1o
dHRwOi8vY3JsMi5jbHHHHH9qYXBhbi5jb20YW5DQS5jcmwwDQYJ
KoZIhvcN98989898gYEAUeC0SdtTccG5Ctt1fVXUBfeufONxqzZj4ralk
xJOuASIw31UlVfrDbXZ5IGYAXjvNSy6Y0hHFqHXIMpPTw9EEagG
K42+44GitTyxh+YGdUxC+4erywrtywry3wAR0OgPoAY84Txms=
-----END CERTIFICATE-----
この証明書を、CSRを発行したディレクトリに設置します。
ここでは「vi」という特殊な編集コマンドを利用します。viコマンドを理解されていない場合は、実行しないでください。
viコマンドのご利用方法はサポートの対象外となります。専門書籍等にてお調べいただけますようお願いいたします。
viコマンドのご利用方法はサポートの対象外となります。専門書籍等にてお調べいただけますようお願いいたします。
% vi ssl.cert
viコマンドによる編集画面が開いたら、コピーしたcert証明書の情報を貼り付けssl.certとして保存します。
次に以下のコマンドを入力します。
% openssl rsa -in privkey.pem -out ssl.pk
パスフレーズを質問されますので、CSR発行時に設定した「マスターユーザーID」を入力します。同ディレクトリ内に「ssl.pk」というファイルが生成されます。
SSLの更新時など、同サーバーに以前SSL証明書をインストールしたことのある場合は、以下のコマンドを実行後、次にお進みください。
% sslctrl remove
続けて以下のコマンドを実行します。
% sslctrl installpkey < ssl.pk
% sslctrl installcsr < ssl.csr
% sslctrl installcert < ssl.cert
% sslctrl installcsr < ssl.csr
% sslctrl installcert < ssl.cert
確認コマンドを実行します。
% sslctrl enable
「ERROR: SSL already enabled.」とエラーメッセージが表示されますが、既にSSLが有効であるという確認メッセージなので問題はありません。以上で証明書のインストールが完了します。
登録したコモンネームでSSL接続が可能になっているかどうかをご確認ください。
https://www.example.com
