幼菜すみか＠なないろもも組のブログ

事前準備

環境: FreeBSD8 + Apache2.2
自分のサーバーで、秘密鍵を作り、その秘密鍵から公開鍵と申請用のCSRを作成。

> openssl genrsa -des3 -out momogumi_nanairo_com.key 2048
> openssl req -new -key momogumi_nanairo_com.key -out momogumi_nanairo_com.csr

Country Name (2 letter code) [AU]:JP
State or Province Name (full name) [Some-State]:Saitama
Locality Name (eg, city) []:Saitama
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Nanairo Arts
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []:momogumi.nanairo.com
Email Address []:(空)

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:(空)
An optional company name []:(空)

Emailの項目をどうするかちょっと悩んだけど空にしました。
これでできた、momogumi_nanairo_com.csr の中身を申請フォームに入力します。

証明書の購入

ディファイン合同会社の販売サイトで会員登録。
http://define.jp/ssl/user_data/readme.php

すぐに会員登録認証用のURLがメールで届くので、アクセスして登録完了。
続いて、サイトからRapidSSLをカゴに入れる。
RapidSSLは安いけど、対応してる端末の種類も多そうなのでよさそう。
初めてなのでとりあえず1年間の期限のものを購入。
決済はPayPal経由のクレジットカード決済にしました。
手数料込みで1100円。

しばらくすると、メールで申請用のURLが送られてくるのでアクセス。
初めのページはこんなかんじ。

CSRには先ほど準備したcsrファイルを開いて中身をコピペ。

CONTINUEで進むと先ほどのcsrの中身が表示される。

Select Cetificate Approver EMailには 選択肢の中から自分が受けとれるアドレスを選択。

メールのドメインはFQDNの ○○○＠momogumi.nanairo.com でないとダメだと思って、DNSとメールアドレスの設定までして準備してたのに、サブドメインのなしの、
○○○＠nanairo.comでもよさそうorz
あとは管理者と技術担当者の名前や役職などを埋めて申請完了。

数分すると先ほど選択したメールアドレスに、RapidSSLの鍵で署名したうちの証明書が送られてきます。
このテキストの内容をファイルにして、サーバーに保存します。
例としてファイル名を momogumi_nanairo_com.crt

RapidSSL自身の証明書はブラウザに初期インストールされているルート証明書ではなさそうで、中間CA証明書をダウンロードしてこれもサーバーに保存する必要があります。
https://knowledge.rapidssl.com/support/ssl-certificate-support/index?page=content&id=AR1549
例としてファイル名を intermediate.crt 

Apacheの設定ファイルで、自サーバーの秘密鍵、自サーバーの証明書、中間証明書を指定します。
(パスは例として)
SSLCertificateKeyFile /usr/local/ssl/private/momogumi_nanairo_com.key
SSLCertificateFile /usr/local/apache/crt/momogumi_nanairo_com.crt
SSLCACertificateFile /usr/local/ssl/crt/intermediate.crt 

あとは、apacheを再起動してブラウザから確認。

https://momogumi.nanairo.com/
でアクセスしてみると無事に表示。
証明書を確認すると、

うまくいってるよう。
次回は１年後の証明書の更新時に。