巷のプログラマは電気羊の夢を見たりしないの巻

さて、SSL証明書の請求です。個人認証を受けていない場合は、

• サーバー証明書 (1ドメイン。有効期間1年間)
• クライアント／メールアドレス証明書 (有効期間1年間)

個人認証、企業認証を受けている場合は、

• サーバー証明書 (複数ドメイン、ワイルドカード可。個人／企業実在証明付き。有効期間2年間)
• クライアント／メールアドレス証明書 (個人／企業実在証明付き。有効期間2年間)
• コードサイン証明書 (個人／企業実在証明付き。有効期間2年間)

が請求できます。それでは、ごく一般的なサーバー証明書を例にとって請求方法を説明しましょう。

まず、ドメインの認証を行います。アカウントページの「Validation Wizard」をクリックして、「Type:」から「Domain Validation」を選択して、「Continue」をクリックします。

次に認証を受けるドメイン名を入力します。トップレベルドメインはドロップダウンメニューから選択するようになってます。「.jp」「.co.jp」「ne.jp」などもちゃんとありますので、焦らずに探しましょう。:) 入力したら、「Continue」をクリックします。

認証コードを受信するメールアドレスを選択します。「postmaster@*」「hostmaster@*」「webmaster@*」は認証を受けるドメインのアドレスになります。それ以外に、Whois データベースに記載されている連絡アドレスが表示されます (註: .jp ドメインの場合、whois データベースの読み出しに失敗しているようで、文字化けした意味不明の選択肢が表示されます。ですので、事実上、ドメインメール宛の先の三つのアドレスからしか選べません)。選択したら「Continue」をクリックします。

指定したアドレスへ認証コードを記載した次のようなメールが届きます。

認証コードを入力して「Continue」をクリックします。

これでドメイン認証は完了です。以下のような画面に進みますので、「Finish」をクリックします。

完了後、画面右にある「Domain Validation」の「+」をクリックすると、認証されたドメイン名に緑色のチェックマークが付いているのが確認できます。

なお、個人認証を受けていないと、ドメイン認証の有効期間は30日で、30日ごとに認証を繰り返さなくてはなりません。

次に、証明書の発行請求を行います。アカウントページの「Certificates Wizard」をクリックします。

「Certificate Type:」で「Web Server SSL/TLS Certificate」をドロップダウンメニューから選択し、「Continue」をクリックします。

秘密鍵の作成画面になります。既に秘密鍵を手元で生成済みの場合は、「Skip」をクリックします。ここで秘密鍵を作成する場合は、パスワードを入力し、鍵長を「2048 (Medium)」「4096 (High)」のいずれかから選択して「Continue」をクリックします。パスワードを忘れるとサーバーが暗号化できなくなったり、証明書の更新に必要な CSR (証明書署名要求) を作成できなくなってしまいますので、忘れないように気をつけて下さい。また、鍵長は「2048」でも問題ありませんが、よりセキュリティを高めたいと思われるのでしたら「4096」を選びます。

秘密鍵を作成するならここで確認を求められますので、「OK」をクリックします。

少し時間がかかりますが、秘密鍵が作成され、次の画面に進みます。画面中央のテキストエリアに表示されている内容を一切の変更を加えないように注意してコピーし、テキストエディタなどにペーストしてファイルに保存します。この秘密鍵は暗号化されており、実際にサーバーにインストールして運用する際に、秘密鍵を作成した時に入力したパスワードが必要になります。ただ、通常はサーバーの起動ごとにパスワードを入力するのは面倒なので、暗号化を解除した秘密鍵をインストールすることも少なくありません。もちろん、秘密鍵の暗号化を解除する際にもパスワードが必要です。

秘密鍵を保存したら、「Continue」をクリックして次の画面に進みます。証明書を作成する認証済みドメインを選択して、「Continue」をクリックします。

証明書が必要なサーバーのサブドメインを入力します。サブドメインのないドメイン名だけの証明も自動的に加えられますので、特にサブドメインが必要でなくても何か指定しておきます。入力したら「Continue」をクリックします。

証明書に含まれるサーバー名の確認画面が表示されます。サブドメインのないサーバー名も証明書に含まれることがわかります。間違いがなければ、「Continue」をクリックします。

個人認証・企業認証済みであれば、すぐに証明書が表示されますが、そうでなければ、次のような画面が表示されます。

要は「内容を確認するからメールで知らせるまでちょっと待て」ということです。ほとんどの場合、三時間以内に次のようなメールが来ます。

メールが届いたら、アカウントページの「Tool Box」をクリックし、左側に表示される「Retrieve Certificate」をクリックします。すると次のような画面に進みますので、証明書を作成したサーバーを選択して「Continue」をクリックします。

中央のテキストエリアに表示されているのが証明書です。内容を一切の変更を加えないように注意してコピーし、テキストエディタなどにペーストしてファイルに保存します。

あとは秘密鍵と一緒にサーバーへインストールするだけです。お疲れ様でした!

StartCom Linux というディストリビューションも開発しているイスラエルの StartCom が認証局として発行している証明書が、StartSSL 証明書です。昨年秋に Windows の証明書ストアにルート証明書が登録されたことにより、Internet Explore にも対応を果たしました。

通常、SSL証明書というのは、発行申請ごとに認証を受けるのですが、StartCom は、証明書の発行プロセスと認証プロセスを完全に分離し、個人認証、組織認証について課金するというモデルをとっています。個人認証が、350日で $49.90-。組織認証も 350日で $49.90- (ただし、組織認証を受けるためには代表者または担当者が個人認証を受けている必要があります)。EV 認証は、やはり 350日で、$199.90 (組織認証とEV証明書1回分を含みます)。一度認証をうければ、その間、証明書はワイルドカード証明書を含めて発行し放題です (EV証明書だけは一回につき $49.90 必要です)。ここ以外では一番安いと思われる RapidSSL のワイルドカード証明書でも、年 $149 (日本だと年14800円) することを思えば、これは破格の安さではないでしょうか。しかも証明書は二年間有効です。

認証? またそれは面倒な。と思ったあなた。大丈夫です。もし、SSL証明書が必要なドメインがひとつだけでしたら、認証は必要ありません。しかも認証が必要ないということは課金がありませんから、つまりタダで SSL証明書が入手できます。この場合、証明書の有効期間は一年間になります。

さて、安いとか無料ということになると、気になるのはブラウザの対応具合ですが、基本的に、Windows の証明書ストア、Mac のキーチェーンを使用するブラウザは問題ありません。具体的には、Internet Explore とか、Safari とか。Firefox は独自の証明書ストアを持っていますが、既に登録されているのでこれまた問題ありません。ブラウザ別に見ると、

• Internet Explore を含む、Windows 証明書ストアを利用するブラウザ
• Safari を含む、Mac OS X キーチェーンを利用するブラウザ
• Firefox
• Camino
• Flock
• Google Chrome
• Konqueror
• SeaMonkey
• Android
• iPhone

となります。何か抜けてますね。そうなんです。Opera は対応してないんですよ。となると、Opera 自体のシェアはともかく、広く公開するサイトには二の足を踏んでしまう人も少なくないのではないでしょうか。でもまあ、ある程度対象が限定 (知人親族だけが対象とか) されるサイトなら、問い合わせがあるのを前提で使用してみる価値はあると思います。あるいは、Opera は無視、というポリシーでいくとか。^^;

では、実際の請求方法をご説明しましょう。実は「Quick Lane」という、 SSL証明書を手早く発行して貰うためのショートカットプロセスもあるのですが、どっちにしてもアカウントは作成されることと、個人認証まで行う場合はそれではだめなので、ここでは通常の登録方法を紹介することとします。

まず、アカウントを開設するために、StartSSLホームページを表示します。

次に、「Sign-up」をクリックします。すると、下図のような画面になりますので、必要事項を入力します。嘘を入力したことがわかるとアカウントは抹消されるので、正直に。イスラエルの怪しげな会社に個人情報を渡せるかいっ! という方はここで Uターン。信用できない会社の認証を受けても仕方ないでしょ?

すると次のような確認ダイアログが表示されます。

「登録を進めたければ以下の点を確認すること」「個人の私的な情報として正しく嘘のない情報を入力しました」「StartCom CA ポリシーで要約されている申込者の義務を遵守します」と表示されていますので、申し込むのであれば、OK をクリックします。

すると、以下の申し込み認証コード入力画面になります。認証コードはメールで届きますので、認証コードを入力して「Continue」をクリックします。

認証コードを記載したメールは以下のようなものです。

これで終わり? いえいえ。まだ申し込みが終わっただけで、アカウントが認証されていません。早ければ数分で、次のような「アカウントを認証したよ」というメールが届きます。

申し込みの後以下のような画面になっているので、上のメールに書かれている認証コードを入力するか、もしくはメール中の URL をクリックします。

続けてクライアント証明書作成画面に進みます。「2048(高)」が選択されているのを確認して「Continue」をクリックします。

すると次の証明書インストール画面に進みます。そのまま「Install」をクリックします。

以下のように完了画面が表示されれば、クライアント証明書のインストールは完了です。と言いたいところですが、ブラウザによってはクライアント証明書がダウンロードされるだけでインストールされません。そこで、ダウンロードされた証明書をダブルクリックして証明書ストア (Mac ならキーチェーン) に証明書をインストールします。

証明書をインストールしたら、「Finish」をクリックします。ちゃんと証明書がインストールされていれば、以下のメールが届き、無事アカウントが開設されたことがわかります。