Server

DirectAdmin コンパネによるSSL化の設定方法

投稿日:

そろそろホームページもSSL化をしていかないといけない時代になってきたかと思います。
無料のSSL化する方法もあるようですが、ビジネスで利用するにはそういうわけにもいきません。

ちなみに、私のこのブログサイトもSSL化していますが、さくらインターネット様の提供している無料SSLサービスを使っています。
調べてみると、90日間有効のLet's Encryptってサービスを使っているようです。それを自動更新して無料化させているような仕組みではないかと思います。



Let's Encrypt は、認証局(CA)として「SSL/TLSサーバ証明書」を無料で発行するとともに、証明書の発行・インストール・更新のプロセスを自動化することにより、TLS や HTTPS(TLSプロトコルによって提供されるセキュアな接続の上でのHTTP通信)を普及させることを目的としているプロジェクトです。2016年4月12日 に正式サービスが開始されました。非営利団体の ISRG (Internet Security Research Group) が運営しており、シスコ(Cisco Systems)、Akamai、電子フロンティア財団(Electronic Frontier Foundation)、モジラ財団(Mozilla Foundation)などの大手企業・団体が、ISRG のスポンサーとして Let's Encrypt を支援しています。(Let's Encrypt 総合ポータルより引用)

 

じゃ、無料でいいんじゃない?
って思いますが、90日間毎に更新しなければ・・・でも自動でやってくれるなら問題ないじゃん。

違いを調べると、

SSLを導入する上でのメリットは「通信の暗号化」「データの盗聴防止」「データの改ざん防止」などであるが、無料と有料で暗号化の強度といったセキュリティの違いなどない。
 

違いはと言えば、

 

SSL証明書には「ドメイン認証」「企業認証」「EV(Extended Validation)」の3種類があるが、無料のは、「ドメイン認証」によるものであり、そのサイトの所有者が誰であるかまでは検証することはなく自動発行される仕組みになっていますので誰でも登録できてしまう。SSL化されたページだからと言って信頼があるわけではないという事です。
 

あとの「企業認証」と「EV」は厳格な審査で企業・組織の実在性を確認したのち、証明書が発行されます。
さて、仕事で使うホームページのSSL化はどうしたらいいものか!?

色んなサイトを検索すると、年間5万円以上なんていう高額な利用料も存在する。

平均で、年18000円程度。うーーーん高い。

 

ということで、調べて、今回は、ValueSSLのCOMODO SSL証明書から、ポジティブSSL(2,916円(税込))を選択しました。

 

このポジティブSSLっては、安すぎるから無料と変わらないんじゃないの?って思いますが、まさに変わらないかと思います。

 

ただ、間にValueSSLが入っているのでLet's Encryptよりは本人確認されているかと考えます。サービス利用するには、会員になり企業情報や個人情報を登録します。さらに料金の支払いには、クレジットカードの登録や、振込にしても名前を表記しなければなりません。

とはいえ、ドメイン認証なので、ビジネスに使う場合は世の中の状況をみて変更させることが必要かもしれません。

 

さて、今回の本題です。会社で利用しているレンタルサーバー屋さんの管理パネル(コンパネ)がDirectAdminってやつなのです。Pleskなどは有名ですが、DirectAdminって情報があまりないのです。

 

順番を追ってSSLさせた備忘録にしていきます。

 

DirectAdminのSSL化手順

(1)「証明書要求」の作成

DirectAdmin

管理しているサーバから「証明書要求」を作成します。

ちょっと間違えそうなのが、会社部門とコモンネームってところですね。

何入れていいのかわからなかったので、「Technical Division」って入れておきました。たぶん、技術部門のような感じだと思います。コモンネームは、http://を抜いたドメイン名です。

それから、保存をクリックすると、なのかわかりませんが、私は1回保存押しました

(2)文字コードの確認

あらかじめ生成された証明書とキーを貼り付ける」にチェックを入れると下記のような文字コードが出てきます。

 

-----BEGIN RSA PRIVATE KEY-----
MIIJKQIBAAKCAgEAxeJwERIxwEj/Qn7PI1+kUt10y+JgaMLgpcvm4KTMRRs+zFG/
Yc5HFysBcwvNH82J2usSspq93FxIAS5T9cDGSDKdOsFI2+VkDmHEQy7aHZeDkgrV
------途中省略------
7ic0J1MEp0OL31lr7IroU3TD3sUwvvAMO0ZgpUq+hPJZjvjWzDMmO5v6G5f0DRhM
Aa0vJqEvDUka2Lx/IABBuri4zmnxTpdc1czCJOOK2iDFW3d6v0fpk21MihJW
-----END RSA PRIVATE KEY-----

(3)ポジティブSSLの入力欄に(2)のコードを入力

ポジティブSSL申込

ポジティブSSLの申込から入っていくと下記のような入力項目がでてきます。

 

この窓の中に、(2)の暗号をつっこみ先に行きました。つまり、この文字コードは暗号であり、CSRであり、SSLサーバ証明書を発行するための署名要求(Certificate Signing Request)だってことですね。

 

流れにそって処理していくと、会社情報や担当者情報を入れる場所になりますが、会員登録したときの情報にてチェックをいれれば入力する手間が省けました。

また、技術担当者のところは、チェックをいれるだけで代理の会社が担当してくれるようです。

(4)「サーバー証明書」を受け取る

メールにて内容を送信し承認されると、「サーバー証明書」が送られてきます。

その手順は、http://valuessl.net/process/comodopositivessl/

 

私は、最初に、サーバー証明書を、コンパネの(2)の部分に「あらかじめ生成された証明書とキーを貼り付ける」部分を開き、最初から入っている暗号キーの下にそのサーバー証明書の暗号を追加して保存しました。

 

-----BEGIN RSA PRIVATE KEY-----
MIIJKQIBAAKCAgEAxeJwERIxwEj/Qn7PI1+kUt10y+JgaMLgpcvm4KTMRRs+zFG/
Yc5HFysBcwvNH82J2usSspq93FxIAS5T9cDGSDKdOsFI2+VkDmHEQy7aHZeDkgrV
------途中省略------
7ic0J1MEp0OL31lr7IroU3TD3sUwvvAMO0ZgpUq+hPJZjvjWzDMmO5v6G5f0DRhM
Aa0vJqEvDUka2Lx/IABBuri4zmnxTpdc1czCJOOK2iDFW3d6v0fpk21MihJW
-----END RSA PRIVATE KEY-----

-----BEGIN CERTIFICATE-----
MIIHyjCCBrKgAwIBAgIRAMweZEM7OIkK3vFQ8GrmEN4wDQYJKoZIhvcNAQELBQAw
gZAxCzAJBgNVBAYTAkdCMRswGQYDVQQIExJHcmVhdGVyIE1hbmNoZXN0ZXIxEDAO
------途中省略------
xT3LE2GXYPXA2HNy/71ev0TyWLSccntY+g9rMtnUvihoCWW1J/MI5v6TTL5+Ex4N
ckNoWMhh0ILh4iiw5VQavLtV2L0M+gPqqDHgsZtA
-----END CERTIFICATE-----

 

こんな感じで保存を押すと、「証明ホスト」「証明有効期限」が現れました。

 

(5)「中間CA証明書」をCAルートへ貼り付け保存

メールで「発行完了」って内容に、「中間CA証明書」という暗号がありましたので、それをCAルートというところに貼り付けて保存しました。

 

よく意味は分かっていないのですが、たぶんあっているでしょう。

 

さて、チェックですが、チェックツールがありました。

http://ssl-process.com/support/checker.php

ここからURLを突っ込むと、数分後で下記のような状況になりました。

 

SSLチェッカー

なんとなくうまく行っているようです。

 

その後、URLをhttps://ドメイン名でアクセスすると、別のフォルダーだよって英文のメッセージがでるだけでページが表示されません。

 

(6)ディレクトリを統一させる

DirectAdmin

 

サーバーの「コントロールパネル>>ドメイン設定>>対象ドメイン」をクリックします。

 

デフォルトがSSLの場合は、「 private_htmlという名前のディレクトリを使用する」になっているようです。SSLのページと分けたければこのままの状態でもいいのですが、既存のページをSSLしたかったので、「private_htmlからpublic_htmlへのシンボリックリンクを使用する - httpとhttpsの同じデータを許可する」に変更したらホームページが見られるようになりました。

 

ちょっとDirectAdminのSSL情報が少なかったので掲載してみました。

それから、注意事項として、証明書が送られてくるメールアドレスが指定されています。

自分が持っているドメインで

admin@マイドメイン

administorator@マイドメイン

などの指定されたメールでないとダメなので、サーバー管理者にここでも限定されるようですね。

このようにして、無料SSLじゃなく、格安でSSL化してみました。

追記

その後SSL化したホームページが、https://で接続はできるものの、「このサイトへの接続は保護されていませんと出る現象がありました。

調べてみると、ホームページなどに貼り付けた画像などが、http://のリンクになっていたりするとそのような現象になる場合があるそうです。

 


-Server
-, , , , , ,

Copyright© PCTips , 2019 All Rights Reserved.