StartSSL (3/3)

さて、SSL証明書の請求です。個人認証を受けていない場合は、

サーバー証明書 (1ドメイン。有効期間1年間)
クライアント／メールアドレス証明書 (有効期間1年間)

個人認証、企業認証を受けている場合は、

サーバー証明書 (複数ドメイン、ワイルドカード可。個人／企業実在証明付き。有効期間2年間)
クライアント／メールアドレス証明書 (個人／企業実在証明付き。有効期間2年間)
コードサイン証明書 (個人／企業実在証明付き。有効期間2年間)

が請求できます。それでは、ごく一般的なサーバー証明書を例にとって請求方法を説明しましょう。

まず、ドメインの認証を行います。アカウントページの「Validation Wizard」をクリックして、「Type:」から「Domain Validation」を選択して、「Continue」をクリックします。

次に認証を受けるドメイン名を入力します。トップレベルドメインはドロップダウンメニューから選択するようになってます。「.jp」「.co.jp」「ne.jp」などもちゃんとありますので、焦らずに探しましょう。:) 入力したら、「Continue」をクリックします。

認証コードを受信するメールアドレスを選択します。「postmaster@*」「hostmaster@*」「webmaster@*」は認証を受けるドメインのアドレスになります。それ以外に、Whois データベースに記載されている連絡アドレスが表示されます (註: .jp ドメインの場合、whois データベースの読み出しに失敗しているようで、文字化けした意味不明の選択肢が表示されます。ですので、事実上、ドメインメール宛の先の三つのアドレスからしか選べません)。選択したら「Continue」をクリックします。

指定したアドレスへ認証コードを記載した次のようなメールが届きます。

認証コードを入力して「Continue」をクリックします。

これでドメイン認証は完了です。以下のような画面に進みますので、「Finish」をクリックします。

完了後、画面右にある「Domain Validation」の「+」をクリックすると、認証されたドメイン名に緑色のチェックマークが付いているのが確認できます。

なお、個人認証を受けていないと、ドメイン認証の有効期間は30日で、30日ごとに認証を繰り返さなくてはなりません。

次に、証明書の発行請求を行います。アカウントページの「Certificates Wizard」をクリックします。

「Certificate Type:」で「Web Server SSL/TLS Certificate」をドロップダウンメニューから選択し、「Continue」をクリックします。

秘密鍵の作成画面になります。既に秘密鍵を手元で生成済みの場合は、「Skip」をクリックします。ここで秘密鍵を作成する場合は、パスワードを入力し、鍵長を「2048 (Medium)」「4096 (High)」のいずれかから選択して「Continue」をクリックします。パスワードを忘れるとサーバーが暗号化できなくなったり、証明書の更新に必要な CSR (証明書署名要求) を作成できなくなってしまいますので、忘れないように気をつけて下さい。また、鍵長は「2048」でも問題ありませんが、よりセキュリティを高めたいと思われるのでしたら「4096」を選びます。

秘密鍵を作成するならここで確認を求められますので、「OK」をクリックします。

少し時間がかかりますが、秘密鍵が作成され、次の画面に進みます。画面中央のテキストエリアに表示されている内容を一切の変更を加えないように注意してコピーし、テキストエディタなどにペーストしてファイルに保存します。この秘密鍵は暗号化されており、実際にサーバーにインストールして運用する際に、秘密鍵を作成した時に入力したパスワードが必要になります。ただ、通常はサーバーの起動ごとにパスワードを入力するのは面倒なので、暗号化を解除した秘密鍵をインストールすることも少なくありません。もちろん、秘密鍵の暗号化を解除する際にもパスワードが必要です。