常時SSL/TLS化での複数Webサイトの保護

SSLサーバ証明書は従来、個人情報や決済情報の入力フォームのみに設定するというWebサイトが多くありましたが、現在では入力フォームだけでなく、
すべてのWebページをSSLサーバ証明書で保護する「常時SSL/TLS」を導入する企業が増えています。

すべてのページにSSLを使用 常時SSL/TLS化のメリットには、セキュリティ向上はもちろん、GoogleによるHTTPS対応サイトの検索順位における優遇方針、Webサイト開発の効率化などがあります。

常時SSL/TLS化の普及が進むと、管理が必要となるSSLサーバ証明書の数も増加します。 例えば、コーポレートサイトに加え、自社で扱う製品の各ブランドごとに別々のドメインを取得してWebサイトを運営している企業があるとします。この場合、一般的な証明書を利用してすべてのWebサイトをSSLサーバ証明書で保護する場合、各FQDNに対してSSLサーバ証明書を1つ1つ購入する必要があります。

一般的なSSLサーバ証明書

- 常時SSL/TLSサイトでは証明書の有効期限切れに要注意

Webサイトの数にあわせてSSLサーバ証明書を導入すると、複数の証明書を別々に管理する必要があります。証明書の更新手続きも各証明書ごとに必要で、万が一証明書の更新を忘れると証明書が有効期限切れとなり、サイト利用者のブラウザに警告画面が表示されてしまいます。
常時SSL/TLS化されているWebサイトでこの証明書の期限切れが起こると、どのページからアクセスしても警告画面が表示されてしまい、サイト利用者に大きな不便が生じます。

Internet  Explorer8 Firefox8.0

常時SSL/TLS化の際には、複数サーバをまとめて保護できるタイプのSSLサーバ証明書を選ぶと証明書管理やコスト面でとても効率的です。
例えば、マルチドメイン(SANs)証明書の場合、証明書のSubject Alternative Names(サブジェクトの別名) 欄を活用して、複数のFQDNを一枚のSSLサーバ証明書で保護できます。ジオトラストのマルチドメイン証明書なら、証明書1枚(1ライセンス)で、5つのFQDNをカバーできます。

マルチドメイン(SANs)証明書-別ドメインの複数サイトを保護 マルチドメイン(SANs)証明書はSAN (Subject Alternative Name)フィールドに複数のドメイン名(FQDN)を追加することで、最大5つの異なるドメインのWebサイトを1枚のSSLサーバ証明書で保護できます。 ワイルドカード証明書-サブドメインの異なる複数サイトを保護 ワイルドカードの場合、同一のドメイン配下であれば、複数の異なるサブドメイン(FQDN)に対して、1つのライセンスで、SSLサーバ証明書を導入出来ます。

更新手続きが必要なSSLサーバ証明書も1枚にまとめられるため、手続きも容易となり、証明書の更新忘れが発生するリスクも最小限に抑えられます。
なお、ドメインは同一でサブドメインが異なる複数のサイトを運営する場合は、ワイルドカードSSL証明書がお勧めです。

製品・価格一覧へ

※ 本ページに記載されている手順は、基本的な構成を元にしています。システム環境等の設定状況により、手順やパスおよびファイル名が異なることがあります。 アプリケーションやツールなどの仕様や設定手順等でご不明な点がある場合は、それらのマニュアルをご確認いただくか、開発元にご連絡ください。

※ この手順によって生じた影響や結果について、弊社では一切の責任を負いかねます。

CSRの生成〜証明書申請〜証明書インストール手順

Step1.秘密鍵とCSRの生成(サーバ環境)

お客様のサーバ環境にログインし、秘密鍵とCSRを生成します。
コンソール画面にて、以下のコマンドを順に実行してください。

Step1-1. 作業ディレクトリに移動します。

cd /usr/local/ssl/private/

Step1-2. 秘密鍵を生成します。

openssl genrsa -des3 -out newkey.pem 2048

実行するとパスフレーズを要求されるため、任意のパスフレーズを入力します。 さらに、入力したパスフレーズの確認が求められますので、
上記で入力したパスフレーズと同じ内容を入力します。

Step1-3. CSRの作成

openssl req -new -key newkey.pem -out request.csr

実行すると、パスフレーズの入力を要求されるため、Step1-2で指定したパスフレーズを入力します。
さらに、国別番号に「JP」を指定、都道府県名、市区町村郡名、組織名、部門名を順に入力した後、コモンネーム(FQDN)を指定します。

マルチドメイン(SANs)証明書の場合 証明書を設定するコモンネームを代表するものを一つ指定します。SANsで追加するコモンネームは、
証明書申請時に入力します。

ワイルドカード証明書の場合: ドメインの前に「*」アスタリスクを指定したコモンネームでCSRを生成します。

メールアドレス、パスワードなどを入力すると、CSRが生成されます。

Step2.証明書のオンライン申請

オンライン申請システム「ジオトラストストアフロント」にてSSLサーバ証明書をお申し込みいただくと、ジオトラストにて証明書を発行し、
Eメールで証明書をお送りします。

Step2-1.証明書の申請

ジオトラストストアフロントにアクセスし、ログインします。
「証明書新規・更新・乗換申請」メニューをクリックして、証明書の申請画面に進みます。
Step.1で生成したCSR(request.csr)をテキストエディタなどで開き、「BEGIN CERTIFICATE REQUEST」の行から「END CERTIFICATE REQUEST」の行まで、
これらの行も含めてコピーし、申請画面にあるCSRの入力欄に貼り付けます。
マルチドメイン(SANs)証明書の場合:SANsで追加するコモンネームの入力欄に最大4つ入力し、申請画面に沿って手続きを完了します。
※SANsで追加するコモンネームに「*」アスタリスクは指定できません。

Step2-2.証明書の申請

ジオトラストが送付するSSLサーバ証明書の発行通知メールに記載されている(-----BEGIN CERTIFICATE-----)から(-----END CERTIFICATE-----)までを
コピーし、テキストエディタに貼り付け、証明書ファイルとして任意のファイル名で保存します。
例: newcert.pem

この保存した証明書ファイルと、Step1-2で作成した秘密鍵ファイルの組み合わせが、SSL/TLS暗号化通信に利用するキーペアとなります。
この2つのファイルは、必ず正しい組み合わせのペアで利用します。

Step2-3.中間CA証明書/クロスルート証明書ファイルの保存

ジオトラストが送付するSSLサーバ証明書の発行通知メール内に指定されているリンクから、適切な中間CA証明書/クロスルート証明書をダウンロードし、
任意のファイル名で保存します。

Step3.証明書のインストール(サーバ環境)

お客様のサーバ環境にログインし、取得した証明書をサーバに設定します。

Step3-1. Apacheの設定ファイルを編集する

事前にバックアップを取得のうえ、Apache-SSL設定ファイル(例:/etc/apache2/httpd.confまたはssl.conf)をエディタで開き、必要な箇所を編集します。
必ず正しい組み合わせのキーペアを指定してください。あわせて、中間CA証明書のファイル名を指定します。

編集完了後、Apacheサーバを起動(起動中の場合は一旦停止させ起動)します。

Step4. 秘密鍵と証明書のバックアップ(サーバ環境)

ハードウェア障害やサーバの移転などに備え、正しい組み合わせでキーペア(証明書ファイルと秘密鍵ファイル)をバックアップします。

例:
証明書ファイル : /usr/local/ssl/certs/newcert.pem
秘密鍵ファイル : /usr/local/ssl/private/newkey.pem

なお、バックアップについても他の人からアクセスできないように、秘密鍵については適切なアクセス権限を設定してください。特に秘密鍵を紛失してしまうと、
該当の証明書を利用できなくなりますので注意してください。
また、作成時に設定したパスワードを忘れないように注意してください。サーバを他の環境に移行する場合は、キーペアの各ファイルを新しい環境に格納すれば、新たな環境でも利用できます。

ご購入のお問い合わせ

03-5114-4134 製品選び、ご購入方法など、専門スタッフがご案内します。
受付:平日 9:30〜17:30
  • お申込みはこちら
  • Webお問い合わせはこちら
  • 製品お見積りはこちら
  • 製品カタログはこちら