【02: 独自認証SSLについて】


独自認証SSLは、共用SSLとは異なり、独自ドメイン名のままでSSL経由接続を可能にする方法で、サーバ側への設定と、ドメイン名でのSSL接続を許可する為に電子認証業者との契約が必要となります。

独自ドメイン名でのSSL経由接続を可能にするためには、電子認証業者と契約し、有料で発行されるSSL証明書をサーバへインストールする必要があります。
証明書を発行する電子認証業者は、主に以下の3社になります。

■ジオトラスト社
ホームページは こちら です。
上記ホームページより、お客様ご自身でご契約を行って頂く必要がございます。
(クイックSSLプレミアム : 36,540円/1年)
証明書のサーバへのインストール作業もお客様側での作業となります。


■ベリサイン社
ホームページは こちら です。
上記ホームページより、お客様ご自身でご契約を行って頂く必要がございます。
(セキュア・サーバID : 85,050円/1年)
証明書のサーバへのインストール作業もお客様側での作業となります。


■Thawte社

ホームページは こちら です。
上記ホームページより、お客様ご自身でご契約を行って頂く必要がございます。
(SGC Super Certs :US$449/1年)
証明書のサーバへのインストール作業もお客様側での作業となります。


証明書(デジタルID)とは、お客様のサイトの運営者にかんする情報を利用者に明示し、その正当性を証明する書類です。またこの書類は、お客様がインターネットでの代金決済を行うことの法的根拠ともなります。
Thawte社が発行した証明書はNetscape 3.XとMSIE 3.01以降のバージョンのブラウザにも付属しており、NetscapeとMSIEのバージョン4.0以降では1996年から2020年まで有効となっています。
つまりバージョン3.Xのブラウザをお使いの方は、ルートに組み込まれているTwarteの証明書を新しいブラウザのものに換えるだけで、新しいブラウザと同じレベルのセキュリティを得られることになります。この作業には2分ほどかかります。
これによりお使いのブラウザで数万台のTwarte認証サーバがひきつづき利用できます。Thawte社の証明書の変更については、 Thawte社のサイト をご覧ください。

またバージョン3.Xのブラウザでベリサイン社の証明書をお使いの場合は、有効期限は1999年12月31日までとなっています。
 
■証明書の取得準備(CSRの発行)
現在、いくつかの企業が証明書(デジタルID)を発行していますが、そうした企業のことを証明書発行元 (Certificate Authorities)、略してCAと呼びます。
CAの大手として、ジオトラスト社と ベリサイン社 Thawte社 の3社があり、両社の発行する証明書は広く用いられています。
取得される証明書の暗号強度は、「 128ビット 」をご選択下さい。
「256ビット」の証明書は、Docomoのiモード等、一部のブラウザで未対応となっております。
 
以下では、ベリサイン社およびThawte社の証明書を取得する手続きを段階を追って説明いたしますが、他社の証明書についても大きな違いはありません。
特殊な事例については弊社のサポートスタッフまでご相談ください。

ベリサイン社、Thawte社の証明書(デジタルID)を申請し、インストールするには以下の作業が必要となります。
まず最初に、申請書(Certificate Signing Request = CSR、以下申請書をCSRと示します)をベリサイン社、あるいはThawte社に提出します。
 
■CSR発行手順
CSRの発行方法は、以下のようなTelnet(SSH)接続でのコマンド操作で行います。
 
お客様側でCSRの発行を行っていただく際は、以下の手順で可能となっております。

% cd /usr/local/certs
証明書を発行し、保管するディレクトリに移動します。

% openssl req -new > ssl.csr
上記コマンドを実行すると、CSR発行に必要な質問が表示されます。

% openssl req -new > ssl.csr
Generating a 1024 bit RSA private key
.............................................++++++
..............++++++
writing new private key to 'privkey.pem'
Enter PEM pass phrase:

ここでは、ご利用サーバの管理IDを入力します。入力内容は画面上では表示されません。
入力したら、<Enter>キーを押して下さい。


Verifying - Enter PEM pass phrase:

確認用に、もう一度入力し<Enter>キーを押します。

-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]: JP
↑国名「JP」を入力します。

State or Province Name (full name) [Some-State]: Tokyo
↑都道府県名を入力します。

Locality Name (eg, city) []: Shibuya
↑市・区名を入力します。

Organization Name (eg, company) [Internet Widgits Pty Ltd]: GMO Co.
↑カンパニー名を英語表記で入力します。

Organizational Unit Name (eg, section) []: test
↑部署名を英語表記で入力します。

Common Name (eg, YOUR name) []: www.example.com
↑SSL接続時に利用するドメイン名を入力します。

Email Address []: webmaster@example.com
↑担当者のメールアドレスを入力して下さい。

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
↑何も入力せず<Enter>キーを押します。

An optional company name []:
↑何も入力せず<Enter>キーを押します。

以上で、CSRの発行が完了します。
ディレクトリを閲覧確認して、「ssl.csr」「privkey.pem」が作成されているのを確認して下さい。
「ssl.csr」が、CSRの情報となります。

「ssl.csr」の中身は、以下のようなコマンドでご確認下さい。

% more ssl.csr
上記のようなコマンドで、「ssl.csr」の中身を確認すると、CSRは情報のブロックが、「NEW CERTIFICATE REQUEST」(新規証明書申請)という記述に挟まれたかたちになっているのがわかります。

ご参考までに以下にその例を示します。(以下は見本用データであり、実際のCSRではございません。)

-----BEGIN NEW CERTIFICATE REQUEST-----
MIIBJTCB0AIBADBtMQswCQYDVQQGEwJVUzEQMA4GA1UEChs4lBMHQXJpem
A1UEBxMETWVzYTEfMB0GA1UEChMWTWVs3XbnzYSBDb21tdW5pdHkgQ29sbG
A1UEAxMTd3d3Lm1jLm1hcmljb3BhLmVkdTBaMA0GCSqGSIb3DQEBAQUAA0kA
QQDRNU6xslWjG41163gArsj/P108sFmjkjzMuUUFYbmtZX4RFxf/U7cZZdMagz4I
MmY0F9cdpDLTAutULTsZKDcLAgEDoAAwDQYJKoZIhvcNAQEEBQADQQAjIFpT
BVhc9SQaip5SFNXtzAmhYzvJkt5JJ4X2r7VJYG3J0vauJ5VkjXz9aevJ8dzx37ir
3P4XpZ+NFxK1R=
-----END NEW CERTIFICATE REQUEST-----
CSR が作成された際には、その情報と対になる形で 秘密鍵(Private Key)= privkey.pem が生成されます。
「秘密鍵」は、サーバにSSL証明書をインストールする際に必要となります。
「秘密鍵」の情報は、電子認証業者に提出する必要はございません。
 
■CSRの提出
CSRの生成を確認されましたら、それを証明書申請ページに提出します。

以下のURLの「新規申請の手順」のリンクをご参考にお手続きを行ってください。

【ジオトラスト社へのお申し込み 】
ウェブからの登録申請

【ベリサイン社へのお申し込み 】
ウェブからの登録申請

【Thawte社へのお申し込み】
Thawte社 「取得までの流れ」

いずれも、[Web Server Certificate]オプションを選択し[Continue]を選びます。
ここに挙げたのはいずれもベリサイン社、Thawte社のサイトにある証明書申請セクションの最初のページにあたります。
ページにあるテキストフィールドに弊社よりお送りした「NEW CERTIFICATE REQUEST」のブロック全体を貼り付けてください。この際、BEGIN から END とある行まで、つまりブロックの全体が必要となります。
-----BEGIN NEW CERTIFICATE REQUEST-----
より始まり、
-----END NEW CERTIFICATE REQUEST-----

までのブロック全部を貼り付けて申請しなければなりません。
また、 改行部分を編集せず、そのままの状態で貼り付けて下さい。
CSRのブロックをテキストフィールドに貼り付けると、続いて[CONTINUE]ボタンを押して先に進みます。
(なおThawte社の場合には「Web Server Software」を聞かれますので、[Apache-SSL]を選んでください)
続いて会社(組織)名、所在地などが聞かれます。この際にベリサイン社やThawte社では「challenge phrase」や「password」を聞いてきますが、これらは将来的に証明書に関して問題が生じた際に必要となるものです。
たとえば、電子鍵のペアをなくしてしまった、あるいは所有する証明書に関して疑いが生じた場合、発行元であるCAに自分が証明書の正当な所有者であることを示す際に必要となるのが「challenge phrase」であり「password」なのです。その為、キャッシュカードの暗証番号のように、思い出しやすく、それでいて他人には分からないようなものにしておくことをおすすめします。
ベリサイン社、Thawte社も、「Challenge Phrase」や「Password」をこちらが忘れてしまうと、絶対に教えてはもらえませんので、紛失しないようご注意ください。

「Challenge Phrase」または「Password」を設定したら、引き続き申請フォームに記入します。
記入がすべて終わると、最後にフォームをベリサイン社、あるいはThawte社に送ります。
すると引き換えに、PIN(ベリサイン社)、Certificate ID(Thawte社)が渡されます。
今後、申請に関してベリサイン社、Thawte社と連絡を取る際には、このPINあるいはIDが必要となります。
 
■CSR提出後のお手続き
CSRの提出でで証明書の申し込み手続き自体は完了しましたが、発行元に身元証明の書類を提出しなければなりません。
ベリサイン社、Thawte社共に、業務免許や会社概要など、会社(団体)が実際に存在することを証明する書類を必要とします。
提出に関する詳細については、ベリサイン社、Thawte社がCSRを受け取ってからまもなくメールで送られてきます。
申請時に記載した内容に記入もれがなく、確認がとれ次第、申請手続きは3〜5営業日内に処理されます。

このページでご案内している以外のベリサイン社、Thawte社へのお申し込み方法に関するお問い合わせは、弊社でお受けする事はできかねますので、あらかじめご了承ください。
また、弊社側から、各社に対して、処理手続きを早めるよう要請することもできませんので、ご了承下さい。
証明書の発行手続きはすべてベリサイン社、Thawte社等、お申し込み受付側で一括して行っているためです。
 
お申し込み完了後の作業
証明書が作成されると、ベリサイン社は電子メールで署名入りの証明書を送ってきます。
Thawte社の場合は、URL入りの電子メールを送ってきますので、ユーザ側でそのURLにアクセスし、通常形式で証明書をダウンロードして下さい。

お客様のサーバにこのSSL証明書と秘密鍵をインストールする事で、独自ドメイン認証のSSLサーバがご利用可能となります。

インストール手順につきましては、「 03) 独自認証SSLのインストール作業について 」をご参照下さい。