SSLサーバー証明書

SSLサーバ証明書インストール(W3Labサーバー外)(Apache + mod_ssl + OpenSSL) [新規・更新]


ここでは、SSLサーバ証明書をApache + mod_ssl + OpenSSL環境にインストールする手順例を説明します。新規取得時・更新取得時ともに同じ手順です。

W3Labサーバー(ProBiz、MultiBiz)では、W3Labがインストールを行いますので、お客様が以下の処理を行う必要はありません。

ステップ1 サーバ証明書と中間CA証明書のインストール

1. サーバ証明書

受信した「発行完了メール」にある「サーバ証明書」のすぐ下の
(—–BEGIN CERTIFICATE—–) から (—–END CERTIFICATE—–) までをコピーし、テキストエディタに貼り付け、サーバ証明書ファイルとして任意のファイル名で保存します。

例: 2017yourdomain.crt

[サーバ証明書]

cert sample
2. 中間CA証明書

受信した「発行完了メール」にある「中間CA証明書」のすぐ下の
(—–BEGIN CERTIFICATE—–) から (—–END CERTIFICATE—–) までをコピーし、テキストエディタに貼り付け、中間CA証明書ファイルとして任意のファイル名で保存します。

ファイル名:(例) 2017intermediate.crt

[中間CA証明書]

cafile
3. 保存したサーバ証明書ファイルと、保存した中間CA証明書ファイルと、CSR生成時に作成した秘密鍵ファイルの3つを管理しやすいディレクトリに保存します。

例:

サーバ証明書ファイル /usr/local/ssl/certs/2017yourdomain.crt
中間CA証明書ファイル /usr/local/ssl/certs/2017intermediate.crt
秘密鍵ファイル /usr/local/ssl/private/2017private.key

サーバ上にある既存の証明書ファイル・秘密鍵ファイルを上書きしないよう注意してください。
違うファイル名で作成するなど、充分注意してください。

4. Apach-SSL設定ファイル (初期ファイル名は、httpsd.conf 、 ssl.conf など)をエディタで開きます。

# vi ssl.conf

※編集前の設定ファイルをバックアップ保存することをおすすめします。
※お客さまの環境によりまして、上記の設定ファイル名は違う場合がありますので、ご利用の環境に読み換えて下さい。
※以下は記載例ですので、赤字の箇所はお客様の環境によって読み替えてください。

<VirtualHostXXX.XXX.XXX.XXX:443>
DocumentRoot "/var/www/html"
ServerNamewww.securesite.co.jp
SSLEngine on
SSLCertificateFile/usr/local/ssl/certs/2017yourdomain.crt
SSLCertificateChainFile/usr/local/ssl/certs/2017intermediate.crt
SSLCertificateKeyFile/usr/local/ssl/private/2017private.key
<VirtualHost>

本例はVirtualHostでサイトを運用している場合を前提としています。
VirtualHostでサイトをご利用ではない場合はVirtualHostの外に証明書を設定いただいて問題ございません。

SSLCertificateFile /usr/local/ssl/certs/2017yourdomain.crt ←サーバ証明書ファイル
SSLCertificateChainFile /usr/local/ssl/certs/2017intermediate.crt ←中間CA証明書ファイル
SSLCertificateKeyFile /usr/local/ssl/private/2017private.key ←秘密鍵ファイル

5. 設定ファイルの編集完了後は、Apacheサーバを起動(起動中の場合は一旦停止させ起動)します。

# apachectl stop
# apachectl startssl

※restartでは、正常に読み込まれない場合がありますので、stop、startコマンドのご利用をお勧めいたします。
※ご利用の環境によっては、停止・起動コマンドが異なる場合がありますのでご了承ください。

6. エラーが表示される場合

(1) キーペアの組み合わせが正しくない場合

key values mismatch などのメッセージが表示される場合は、証明書ファイルと、秘密鍵ファイルの組み合わせが正しくありません。
正しい組み合わせで設定ファイルに指定してください。

(2) パスフレーズが誤っている場合

秘密鍵を作成した際にパスフレーズを設定した場合は、Apacheの起動時にパスフレーズが要求されます。パスフレーズを忘れてしまった場合にはApacheを起動することができません。パスフレーズを忘れてしまった場合には、新しい秘密鍵を作成して、CSRを生成し、再度証明書の取得が必要です。

以上でインストール作業は完了です。

 

 クロスルート証明書 

SHA-1版証明書からSHA-2版証明書への移行が進むと同時に、ブラウザベンダなどによるSSL/TLS通信やアプリケーションのアップグレードが進み、クロスルート証明書を利用して互換性を維持する必要性が薄れてまいりました。このような背景事情から、認証局ではクロスルート証明書のインストールを従来の「推奨」から「任意」に変更いたしました。

ジオトラスト、シマンテックにおいてはクロスルート証明書は非推奨、利用終了となっています。

COMODOの証明書で、古い従来型携帯電話(フィーチャフォン)や一部のレガシー端末・機器などをご利用のクライアント環境に対してSSL通信が必要な場合は、対応率を向上させるためにクロスルート証明書を任意でインストールして下さい。クロスルート証明書が必要な方は、お問い合わせページよりご連絡ください。クロスルート証明書は、中間証明書ファイル(上記例では、2017intermediate.crt)内に追記(連結)する方法でインストール可能です。

[中間CA証明書]+[クロスルート中間CA証明書]
中間CA証明書+クロスルート証明書

ステップ2 インストールチェッカーで正しくインストールできたか確認

Apacheサーバを起動後、各発行機関の提供する「インストールチェッカー」で、サーバ証明書と中間CA証明書が正しくインストールできたか確認して下さい。

各社インストールチェッカー

ジオトラスト社 インストールチェッカー(英語)
シマンテック社 インストールチェッカー(英語)
COMODO社 インストールチェッカー(英語)

COMODOのインストールチェッカーは中間CA証明書・クロスルート証明書などが表示されません。他のインストールチェッカーでも確認できますので、必要に応じて他をご利用ください。

ステップ3 秘密鍵ファイルと証明書ファイルのバックアップ

ハードウェア障害などに備え、正しい組み合わせでキーペア(秘密鍵ファイル と 証明書ファイル)をバックアップしておきます。
サーバをリプレイスする場合などには、キーペアの各ファイルを新しい環境にインポートすることで移行して利用できます。
秘密鍵を紛失した場合、取得したサーバ証明書を利用できません。確実にバックアップを取ってください。
既存の秘密鍵、証明書と混同しないよう、ファイル名で見分けるなどして管理してください。
作成時に設定したパスワードを忘れないよう、注意してください。

 

 各社インストールマニュアル 

ジオトラスト社 インストールマニュアル(英語)
シマンテック社 インストールマニュアル(英語)
COMODO社 インストールマニュアル(英語)

 

【ご注意】

この文書に記載されている情報は予告なしに変更されることがあります。 この文書に記載されている情報に従ってユーザが操作を行い、いかなる損害を被ろうとも、当社は一切の責任を負いません。 また、ユーザは自己の責任において使用する事に同意したものとみなされます。
※ インストールについてのサポートは当社では行っておりませんので、詳しくは関連の書籍などをご参照ください。

 

お申込みはこちらから行ってください。