StartComから無料のSSLサーバ証明書を取得(2)

前回の記事に続き、StartComから無料のThe StartSSL™ Free (Class 1)証明書を取得する手順を書きます。

1. https://www.startssl.com/?app=1 のページの最下部の「Secure your web server and mail traffic now by using the Certificate Control Panel. 」のCertificate Control Panel をクリックする

2. 「Express Lane」をクリックする (私の場合、ここから取得)

3. 氏名、住所、郵便番号、電話番号、メールアドレスを入力する

4. 以下のようなメールが送られて来るので、その中の「authentication code」のXXXXの部分をブラウザのウインドウにコピペする (このステップはアカウント登録/個人証明書取得のためのもの)

This mail is intended for the person who requested to enroll at StartSSL™ (http://www.startssl.com).

Your authentication code is XXXX
Copy and paste this code now into the form at your open browser window.

Thank you!

StartCom Ltd.
StartSSL™ Certification Authority

5. クライアント認証用の個人証明書がブラウザにインストールされたのでバックアップを取るように、という主旨のメールが送られて来る

6. 前のステップで取得したクライアント証明書でStartSSLのサイトにログインする

7. サーバ証明書の取得に必要な以下の情報を入力する

 ・ドメイン名を入力(例: mylpic.com )
 ・ドメインの管理者メールアドレスを選択(「postmaster@ドメイン名」がデフォルト。例:postmaster@mylpic.com )

8. ステップ7で指定した宛先(例:postmaster@mylpic.com )にメールが送られて来るので、その中の「verification code」の○○○○の部分をブラウザのウインドウにコピペする。このステップはドメインの検証(validation)のためのもの

This mail is intended for the person who requested verification of domain control at StartSSL™ (http://www.startssl.com).

Your verification code is ○○○○
Copy and paste this code now into the form at your open browser window.

9. ブラウザウインドウの中で秘密鍵を生成し、値をコピペしてファイルに保存する
 (あるいは、opensslコマンドで生成したCSR(Certificate Signing Request)をブラウザウインドウの中にコピペしてもよい)

10. サブドメイン名を入力(例: www.mylpic.com )

11. 入力が終わると次のようなウインドウが表示される
 

12. 私の場合、この後、会社の住所ではなく自宅の住所と"personal details"を求める旨のメールが来た。
自宅の住所を送るなど、何度かメールのやりとりをした

13. 「自分のアカウントでログインして、Tool Boxタブから証明書を取得」を促す旨の以下のメールが来た

This mail concerns the digital certificate you requested from the StartCom Certification Authority (http://www.startssl.com). Your certificate with serial number △△△△ has been signed and is available at the Control Panel:

https://www.startssl.com/?app=12

Please login to your account and select from the Tool Box tab the section Retrieve Certificate. The pending certificate is marked with a green colored label.

Thank you!

StartCom Ltd.
StartSSL™ Certification Authority

14. ブラウザウインドウの中の証明書をコピペしてファイルに保存する
 

15. 「I've successfully got the certificate.」とメールしたら、 smiley faceマークの付いた「Great! :-)」という返事がきた

> I've successfully got the certificate.
> Thank you!
Great! :-)

以上で証明書の取得は完了。

あとはssl.confの中で、秘密鍵ファイル、サーバ証明書ファイルをそれぞれ、SSLCertificateKeyFileディレクティブ、SSLCertificateFileディレクティブに指定します。なお発行されたのは中間証明書(intermediate certificate)なので、サーバ証明書を発行した中間認証局の証明書を格納したsub.class1.server.ca.pem ファイルを以下のURLからダウンロードしてファイルに格納し、SSLCertificateChainFileディレクティブで指定します。設定ファイルssl.confの記述のしかたもこのページに書いてあります。

http://www.startssl.com/?app=21

[参考]

・opensslコマンドによりCSR(Certifuicate Signing Request)を生成する例:

$ openssl req -new
(必要な情報を入力すると最後にCSRの内容が表示されます。秘密鍵はデフォルトではprivkey.pemファイルに格納されます)

・暗号化された秘密鍵(例: private-key)をopensslコマンドにより復号化してファイル(例: decrypted-private-key)に格納する例:

$ openssl rsa -in private-key -out decrypted-private-key
Enter pass phrase for private-key:○X△ ←暗号化時に指定したパスフレーズを入力
writing RSA key

秘密鍵を暗号化したままの場合、Webサーバ起動時にパスフレーズを尋ねてきます。復号化しておけばパスフレーズを尋ねてきません。