Qiita Teams that are logged in
You are not logged in to any team

Log in to Qiita Team
Community
OrganizationEventAdvent CalendarQiitadon (β)
Service
Qiita JobsQiita ZineQiita Blog
49
Help us understand the problem. What are the problem?

More than 3 years have passed since last update.

@non0311

SSL証明書の取得方法 | HTTPからHTTPSへ移行

httpsに対応すること

http://〜で表示されているサイトを
https://〜 で表示する内容をまとめました

なぜhttpsにする必要があるのか 暗号化について

httpsは「HTTP over SSL/TLS」の略です。
httpというプロトコルで通信しているものを、
httpsだとSSLプロトコルという当事者以外には意味の通じない形式に変換して通信することが可能になります。
セキュリティ上、安全になるわけで、
つまり、問い合わせフォームやお客様の個人情報を扱うページだと特にhttpsに対応することが重要になってきます。

フィッシングサイトの防止

サイトが正しく運営されていることを第三者により認証し、それを証明されます。
分かりやすく言うと、フィッシングサイト(偽物のサイト)の防止が可能です。

偽物サイトで、本物のサイトか迷った時は確認できます。
https://matome.naver.jp/odai/2138950703143836101

SEO的にも有利

Googleが推奨していることから、これからこの傾向はますます強くなります。

Google Chrome Version62

2017年10月24日からversion62になるGoogle Chrome になっています。
セキュリティ警告のラベルを表示することをGoogleが2017年4月に告知していました。
該当するページは下記の通りです。

http でテキストをフォーム送信するページ
・シークレットモードでアクセスするすべての http ページ

httpsに対応させる方法とプロセス

httpsで映るようにする
httpからリダイレクトさせhttpsにさせるのが一般的

httpsで映るようにするために、SSL証明書(SSLサーバ証明書)を取得する必要があって
SSL証明書の取得方法は何種類かあり、認証局に発行してもらう必要があります。
また認証局によってSSL証明書の金額がまちまちです。

SSL認証について

認証の種類

SSL証明書にはいくつか認証型に種類があります。

名前 説明 信頼性
ドメイン認証 ドメインの使用権の有無のみ
企業実在性認証 ドメイン+サイト運営団体の実在性の確認(電話認証など)
EV認証 サイト運営団体の厳格な確認 最高

※オレオレ証明書(自分自身が発行する証明書)は割愛

https://www.cpi.ad.jp/column/column08/
違いは認証レベルの違いですが
一般的に、httpsで表示出来るだけなら安いに越したことはありません。

EV認証は金額も高額になるため、実際にそこまでの認証を取得しているのは
日本では超大規模サイトに加え銀行など決済サイトが主です。

認証局による金額の違い

SSL証明書の認証の違いで取得する金額も異なりますが目安として下さい。

認証局 金額
kingSSL 900〜
ジオトラスト 31,300〜
GlobalSign (GMO) 59,800〜
シマンテック 81,000〜

※金額は1年間

本記事では割愛しますが、
実はAWSやさくらサーバにおいて無料でSSL証明書を取得できるサービスも存在します。

実際にSSL証明書を取得する

SSL証明書を取得するまでのざっくりした流れ

  1. 秘密鍵の作成
  2. 秘密鍵を用いてcsrを作成
  3. csrを認証局のブラウザで貼り付け申し込む
  4. 承認メールが届くので、承認して、証明書を発行してもらう。
  5. 証明書をサーバーに設置して、再起動
  6. 終了

※現在の証明書の署名アルゴリズムには、SHA-1ではなくSHA-2(SHA-256)を使用することが推奨されているため、sha-256で作ることを前提としてます。

サーバーでの作業

あくまでディレクトリの場所は一例です。

ディレクトリ作成

mkdir /etc/httpd/conf/ssl.key
mkdir /etc/httpd/conf/ssl.csr

versionの確認

openssl version
ssh -ver

※sha-2はsshのversionが0.9.8から対応なので、それより古いとsha-2は使えませんのでご注意下さい。

秘密鍵の作成

openssl genrsa -out /etc/httpd/conf/ssl.key/hogehoge.com.key 2048

注意点はパスフレーズなしで作ることです。
色々なサイトに載っている-des3というオプションを使うと、パスワード付きになってしまうので注意。仮にパスワードつきで作成してしまった場合は、パスワードを解除してください。

※パスワードを解除する順番はどちらでも良さそうです。CSRを作り直したり、証明書を再発行する必要はありません。
パスフレーズ有りの秘密鍵生成後、パスフレーズ解除、CSR作成、証明書発行
パスフレーズ有りの秘密鍵生成、CSR作成、証明書発行、パスフレーズ解除

openssl rsa -in hogehoge.com.key -out hogehoge.com_nopass.key

すでに証明書がある場合はこれで確認できます。

確認 (SSLCertificateFileなどのファイルを見れる)

grep SSL /etc/httpd/conf.d/ssl.conf | grep Certifi | grep -v ^#
SSLCertificateFile /etc/httpd/conf/ssl.crt/hogehoge.com_2016.crt
SSLCertificateKeyFile /etc/httpd/conf/ssl.key/hogehoge.com.key
SSLCertificateChainFile /etc/httpd/conf/ssl.crt/intermediate_ca_2016.crt

確認 (chain式で見れる)

 echo "" | openssl s_client -connect hogehoge.com:443 -showcerts

csrの作成

openssl req -new -key /etc/httpd/conf/ssl.key/hogehoge.com.key -out /root/hogehoge.com_2017.csr

※-sha256を付与しなくてもsha-256になると思われます。

以下のコマンドを打つと、会社の名前、所在地など入力する

# openssl req -new -sha256 -key /etc/httpd/conf/ssl.key/hogehoge.com.key -out /root/hogehoge.com_2017.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:JP
State or Province Name (full name) [Some-State]:Tokyo
Locality Name (eg, city) []:Shibuya-ku
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Hoge Hoge, Inc.
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:hogehoge.com
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
#

※パスワードはエンターのみを押してください。

cat で確認

cat /root/hogehoge.com_2017.csr

csr情報の確認(入力した情報の確認)

openssl req -text -noout -in /root/hogehoge.com_2017.csr

csrを作成したら、あとはcsrを用いて、ブラウザなどで、各認証局に申し込みます。

申し込みを経て
csrの内容とブラウザで申し込んだ内容に相違がないか認証局から確認の電話が来ます。
確認を終了し、振り込みを終了すると、(順序の前後はありますが)
証明書が発行されます(通常メールなどで送られてきます)

証明書の設置(crt作成)

メールでかいてある情報の
(-----BEGIN CERTIFICATE-----) から (-----END CERTIFICATE-----) までをコピーペースト
(--  ---)内も含む
# vi /etc/httpd/conf/ssl.crt/hogehoge.com_2017.crt
# cat /etc/httpd/conf/ssl.crt/hogehoge.com_2017.crt
-----BEGIN CERTIFICATE-----
CI341F7afFe3avEwIBfeGeE7ek+
以下省略

権限変更

# chmod 600 /etc/httpd/conf/ssl.crt/hogehoge.com_2017.crt

中身確認

# sudo openssl x509 -text -noout -in /etc/httpd/conf/ssl.crt/hogehoge.com_2017.crt

中間CA証明書があれば設置(高いプランの証明書の場合はあります)
ファイル名はなんでも可能です。(最後にconfファイルで書くだけ)

vi /etc/httpd/conf/ssl.crt/intermediate_ca_2017.crt
cat /etc/httpd/conf/ssl.crt/intermediate_ca_2017.crt
chmod 0600 /etc/httpd/conf/ssl.crt/intermediate_ca_2017.crt

再起動すると、証明書が更新されhttps通信が可能になるはずです。
その前にバックアップをとりましょう。

cp -p /etc/httpd/conf.d/ssl.conf /etc/httpd/conf.d/ssl.conf.20170101

設定を追記

vi /etc/httpd/conf.d/ssl.conf

SSLCertificateFile /etc/httpd/conf/ssl.crt/hogehoge.com_2017.crt
SSLCertificateChainFile /etc/httpd/conf/ssl.crt/intermediate_ca_2017.crt

差分を確認

sudo diff -u /etc/httpd/conf.d/ssl.conf.20170101 /etc/httpd/conf.d/ssl.conf

コンフファイルの書式のチェック

service httpd configtest

※centOS7以降はserviceではなくsystemctlコマンド

サーバーの状態の確認

service httpd status

サーバー無停止によるの再起動

service httpd graceful

確認方法

ブラウザの検証ツールで確認も可能。

もしくは下記のようなサイトでも確認できます。
https://www.geocerts.com/ssl_checker

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
49
Help us understand the problem. What are the problem?