さくら VPS で無料 SSL 証明書 StartSSL を使う (一年目の更新)

まず、メールアドレスの認証を行います。

コントロールパネルの “Validation Wizard” をクリックします。

“Email Address Validation” で “Continue” をクリック。

昨年登録したメールアドレスを記入して “Continue” をクリックすると、そのアドレスに “Valification Code” が届くので、それをコピー＆ペースト。

“Validation Success” と出ると成功です。メールアドレスの認証はこの時点から30日のみとなります。

次にドメイン認証を行います。

先ほど同様、コントロールパネルの “Validation Wizard” をクリックします。

“Domain Name Validation” を選択して “Continue”。

ドメインを入力し、”Continue”。

認証コードを受け取るメールアドレスを選択します。

メールに届いた “Verification Code” を入力して “Continue”。

“Validation Success” と出ると成功です。ドメイン認証もこの時点から30日のみ有効です。

最後にクライアント証明書の発行です。今回は “Cerifications Wizard” に進みます。 “Certificate Target” は “S/MIME and Authentication Certificate ” を選択して “Continue” をクリック。

“High Grade” (高強度の暗号化) を選択して “Continue”。

“Email” に上で認証したメールアドレスが記載されていることを確認しておきます。私は “Secure Hash Algorithm” は “SHA2” に変更しました (SHA2 は SHA1 より強固)。

ブラウザに自動的にインストールされます。Iceweasel では以下のアラートが表示されました。

以上でクライアント証明書のインストールが完了しました。

念のため、ファイル (.p12) に証明書のバックアップを取っておきます。Iceweasel では “Preferences” “Advanced” “Encryption” “View Certificates” “Your Certificates” と進むと証明書が見えます (Firefox では「ツール」「オプション」「詳細」「暗号化」「証明書を表示」「あなたの証明書」)。

自分のプライベートキーを作成して、それを StartSSL に署名してもらう場合は、ここでは “Skip” をクリックします。私は StartSSL で証明書を作ってもらうことにしました。

適当な “Key Password” を用意し、 “Keysize” には “4096 (High)”、 “Hash Algorithm” には “SHA2” を選択しました。

自分のサーバーで CSR を生成した場合はスキップしてくれと再度確認されますが、ここは “OK” で続行します。

Private Key が表示されますので適当な名前 (server.key) で保存しておきます。

これをドメインに紐付けします。

次にサブドメインを入力します。サブドメインを使わない場合でも証明書には含まれるようですので、私はひとまず “www” を指定しました。

再度確認。

作成されたサーバー証明書が表示されますので、コピーして server.crt など適当な名前で保存します。

“Finish” をクリックして終了します。

あとはサーバーで、この証明書 (server.crt) を古いものと置き換え、Apache をリスタートして接続を確認します。

# /etc/init.d/apache2 restart

サーバの起動時に毎度パスフレーズを入力しなければなりませんので、秘密鍵からこのパスフレーズを削除したい場合には、

# cd /etc/ssl/private
# openssl rsa -in server.key -out server.key
Enter pass phrase for server.key: xxxxxxxxxx
writing RSA key

を実行しておきます (パスは適宜読み替えて下さい)。

ブラウザでアクセスして有効期間が更新されていることを確認します。以下は Chromium の “Certificate Information” の “General” を見ています。