photo by REDさん
さくらインターネットからサーバー証明書の更新のお知らせが来ました。一昨年ぐらいまではRapid SSLでしたが、去年からJPRSに変更されました。JPRSは、Rapid SSLと比べて、認証レベルが変わらず、値段が安くなります。今回は、備忘録として、 JPRSのSSL に更新する手順を記載することにしました。
はじめに
さくらインターネット(以下、さくら)からサーバー証明書の更新のお知らせが来ました。
一昨年ぐらいまではRapid SSLでしたが、去年からJPRSに変更されました。
この切っ掛けには、Rapid SSLのSSL証明書をSymantecが発行していた時期があり、この時期に発行された証明書をGoogleが無効にしたことも関係しているかもしれません。
現在、DigiCertがRapid SSLの証明書を発行しており、DigiCertが発行した証明書であればRapid SSLを利用することに何ら問題はありません。
しかし、お知らせには以下のような内容が書かれていたので、比較してみることにしてみました。
現在、弊社ではラピッドSSLと認証レベルは同様のまま価格をより
お求めやすくした「JPRS ドメイン認証型SSL」を提供しております。
Rapid SSLとJPRSを表にして比較してみると、ほとんど変わらないことが分かります。
| Rapid SSL | JPRS | |||||||||||||||||||||
| 商品名 | ラピッドSSL | ドメイン認証型 | ||||||||||||||||||||
| 年額料金 | 1年 1,620円 2年 2,916円 |
1年 972円 2年 1,836円 |
||||||||||||||||||||
| 取得可能な団体 | 企業・団体・個人事業主・個人 | 企業・団体・任意団体・個人事業主・個人 | ||||||||||||||||||||
| 認証レベル | ドメイン認証 | ドメイン認証 | ||||||||||||||||||||
| ワイルドカード機能 | × | × | ||||||||||||||||||||
| wwwのSANs自動登録 | 〇 | 〇 | ||||||||||||||||||||
| 補償 | × | × | ||||||||||||||||||||
| サーバー台数無制限 | 〇 | 〇 | ||||||||||||||||||||
| 発行スピード | 即日発行 | 即日発行 | ||||||||||||||||||||
| スマートフォン対応 | 〇対応状況 | 〇対応状況 | ||||||||||||||||||||
| サーバー設定代行 | × | × | ||||||||||||||||||||
| 認証局 | デジサート | JPRS | ||||||||||||||||||||
| サイトシール |  サイトシールの設定はこちら |
 サイトシールの設定はこちら |
||||||||||||||||||||
| ブラウザアドレスバー表示 |
|
|
取得可能な団体では、JPRSには任意団体がありますが、JPRSには任意団体がないだけです。
そして、年額料金がRapid SSLに比べて、JPRSは大幅に安くなっています。
そこで、今回、SSL証明書をRapid SSLからJRPSへ更新することにしました。
ただ、これまでにSSL証明書を更新する際に何かと問題が起きています。
例えば、更新期間内の更新を忘れたり…。
認証ファイルが認証されなかったり…。
HTTPS化の方法が変わったり…。
Rapid SSLを3年間更新していましたが、何かと戸惑うことがありました。
今回、万全を期すために事前にさくらのサポートにメールで数回問い合わせを行ったにもかかわらず、メールの質問に対する答えが全く違ってました。
この理由として、去年と今年では、この一年の間にやり方が変わっているからです。
JPRSへの移行について自分なりに調べてみると、やり方を紹介しているサイトがほとんどなく、あっても私のような体験をしていませんでした。
私が今回、Rapid SSLからJPRSに切り替える過程で体験したことが、今後、同じように切り替える人の参考になれば幸いです。
これまでのSSL設定との違い
まず最初に、今まではサイトのURLにwwwありかwwwなしかで方法が違いました。
なので、wwwなしのURLでサイトを運営している方は以下の内容を読む必要がありません。
当サイトは、wwwありでサイトを運営しており、これまでにRapidSSLを利用していました。
wwwありでサイトを運営する場合、今まではドメイン一覧にwwwありとwwwなしのドメインを登録していました。
そして、wwwなしのURLからアクセスに対して、リダイレクト設定でwwwありのURLへリダイレクトするように設定していました。
例えば、当サイトでは、tnrsca.jpに対してのアクセスはwww.tnrsca.jpにリダイレクトされます。
ところが、現在ではwwwなしのドメインだけがあればよく、wwwありのドメインは必要ありません。
あるいは、wwwありのドメインが必要であったとしても、2018年以前の設定でwwwありのドメインを登録していた場合だけです。
wwwなしのドメインがない場合は、新規に追加して、wwwありと同様の設定をし、wwwありのドメインを削除します。
詳細は以下のページを参考にしてください。
また、以前は、認証ファイルをサーバーコントロールパネルで指定のフォルダに設置したり、中間証明書をインストールしたりと色々と手間が掛かるので、初心者には大変でした。
しかし、現在はこのような手間はほとんど必要なく、常時SSLを簡単に導入できます。
これは、Googleが常時SSL化を義務付けしていることと関係があるのかもしれませんね。
JPRSのSSLへの変更手順
私がJPRSの更新に至るまでかなりの紆余曲折があり、以下の手順はその紆余曲折を要約しています。
なので、実際に行う場合は、この記事である程度の流れを把握して、不明な点はサポートに確認してから行う方が良いです。
とりあえず、以下の条件に当てはまる人が以下に紹介する手順の対象となります。
- サイトのURLにwwwがある。
- リダイレクト設定で、wwwありとwwwなしのどちらのドメインも追加している。
- 今までRapidSSLでwwwありのURLを常時SSL化していた。
一応、以下の内容は、最終的に自分が行ったことで不要な部分を省いてまとめています。
ただ、ひょっとしたら抜けている手順があるかもしれないので、この手順通りにやる場合は自己責任でお願いします。
1.wwwありのドメインの削除
最初の手順として、まずwwwありのドメインを削除します。
このことに関して、今までにRapidSSLで常時SSL化とwwwありドメインへのリダイレクトをしている方は驚くかもしれません。
しかし、wwwなしのドメインで必要な設定をしていれば、wwwありのドメインを削除しても、JPRSの設定中でも問題なくサイトにアクセスできます。
そこで、wwwありのドメインを削除する前に、wwwなしの設定を行います。
1.1.wwwなしドメインの設定
さくらのサーバコントロールパネルにアクセスし、ドメイン名とパスワードを入力してログインします(図1)。
次に、表示されたページ左側のメニューにある「ドメイン設定」にある「ドメイン/SSL設定」をクリックします(図2)。
次に表示される「ドメイン一覧」でwwwなしドメインの「変更」をクリックします(図3)。
図1
図2
図3
「変更」をクリックすると「ドメイン詳細設定」が表示されます。
ドメイン詳細設定では、「マルチドメインとして使用する(推奨)」を選択します(図4の赤枠)。
マルチドメインとして使用することで、wwwあり・wwwなしのドメインが有効となるので、この後のwwwありドメインの削除でもサイトにアクセスできます。
ただし、この場合、URLがwwwなしでもサイトにアクセスできます。
次に、リダイレクト設定で指定フォルダを選択している場合、ルートフォルダに変更します(図4の緑枠)。
当サイトの場合、wwwなし(tnrsca.jp)へのアクセスは「no-www」フォルダとなり、そのフォルダ内の.htaccessでwwwあり(www.tnrsca.jp)へリダイレクトしていました。
このため、「/no-www」から「/」に変更する必要がありました。
この二つの設定に問題がなければ「送信」ボタンをクリックします(図4の青枠)。
これで、wwwなしのドメインの設定は終了です。
図4
1.2.wwwありドメインの削除
この操作をするに至った経緯は後述しますが、最初にwwwありでJPRSの申し込みを行ったことが発端です。
このため、wwwありドメインの削除が本当に必要かどうかは分かりません。
wwwありのドメインを削除しようとしても図のように「削除」が無効化されている場合がります(図5の赤枠)。
この理由として、SSLが設定されていることが挙げられます。
このため、まず、SSLの設定を削除する必要があります。
SSLの設定を削除するには、wwwありのドメインの「更新」をクリックします(図5の青枠)。
図5
「更新」をクリックすると、「SNISSLが利用可能です」が表示されます。
そのページの下に「SSL設定の全削除」ボタンがあるので、それをクリックします(図6の赤枠)。
「SSL設定の全削除」が表示されるので、秘密鍵や証明書が必要であればダウンロードしてください。
問題がなければ、「注意事項を確認しました」のチェックボックスをチェックし、「SSL設定の全削除」ボタンをクリックします。
図6
図7
「SSL設定の全削除」ボタンをクリックすると、「ドメイン一覧」に戻ります。
そして、無効化されていた「削除」ボタンがクリックできるようになっています(図8の赤枠)。
「削除」をクリックすると、「ドメインの削除-確認」が表示されるので、「送信」ボタンをクリックします(図9の赤枠)。
これで、wwwありのドメインが削除されます。
図8
図9
2.wwwなしドメインの更新
wwwありドメインを削除したら、今度はようやっとwwwなしドメインの更新です。
ドメインの更新は「ドメイン一覧」を表示し、wwwなしドメインの「更新」をクリックします(図10の赤枠)。
図10
「更新」をクリックすると、「SNISSLが利用可能です」が表示されます(図11)。
2.1.秘密鍵の作成
「SNISSLが利用可能です」ページに※印で、「JPRS SSLを「更新」される場合は、必ず「秘密鍵を含む新しい設定の作成」よりお手続きください。」と書かれているので、「秘密鍵を含む新しい設定の作成」をクリックします(図11の赤枠)。
「秘密鍵を含む新しい設定の作成」をクリックして表示されるページで、今度は「秘密鍵を生成する」をクリックします(図12)。
余談ですが、「CSRの表示」をクリックすると、以前のCSRを利用して、JPRS SSLの申し込みが出来るように思えます(図6)。
しかし、サポートに問い合わせたところ、JPRSで申請する場合、証明書申請時にサーバーで作成されている秘密鍵が重要だそうで、「秘密鍵を含む新しい設定の作成」を指示されました。
まぁ、※印で注意書きされており、以下のサポート情報の通りに進めていくので「CSRの表示」から実行することはないと思いますが…。
ひょっとしたら、私と同じように気になる方がいるかもしれないので、記載しておきます。
図11
図12
2.2.CSRの作成
「秘密鍵を生成する」をクリックすると、CSRの内容を記入する項目が表示されます(図13)。
そして、ラジオボタンで三つの選択肢があり、ひょっとしたら、「CSRを作成する(SSL新規)」か「CSRを作成する(SSL更新)」で迷うかもしれません。
デフォルトでは「CSRを作成する(SSL新規)」が選択されており、「ドメイン」が図10の「ドメイン一覧」で選択したtnrsca.jpになっています(図13)。
「CSRを作成する(SSL更新)」を選択すると、「ドメイン」がwww.tnrsca.jpとなり、以前入力した内容がそのまま反映されます(図14)。
図13
図14
Rapid SSLの場合、2016年3月1日以前はwwwなしではwwwありのコモンネームが自動的に登録されませんでした。
このため、CSRの作成時にwwwなしかwwwありかで毎回迷いました。
しかし、上記の内容を読むとJPRSの場合、wwwなしのコモンネームで登録した場合、wwwありのコモンネームが自動的に登録されます。
逆に、wwwありのコモンネームで登録した場合、wwwなしのコモンネームが自動的に登録されます。
なので、wwwなしかwwwありかを特に意識する必要がなく、それ以外の内容が前回と同じでも異なっても構いません。
前回と内容が変わらないのであれば、「CSRを作成する(SSL更新)」を選択すれば、入力の手間が省けます。
ということで、内容が変わらないので、「CSRを作成する(SSL更新)」を選択し(図14の青枠)、「CSRの作成」をクリックします(図14の赤枠)。
「CSRの作成」をクリックすると、作成された内容が表示されます(図15)。
内容に問題がなければ、「JPRS SSL(有料サービス)の申し込みへ進む」をクリックします(図15の赤枠)。
「JPRS SSL(有料サービス)の申し込み」が表示されるので、「サーバ証明書のお申し込み」をクリックします(図16の赤枠)。
図15
図16
3.SSLサーバ証明書の申し込み
この後、「SSLサーバ証明書お申し込み」のページに移動します(図17)。
「パスワード」のテキストボックスにパスワードを入力し(図17の青枠)、「ログイン(認証)」をクリックします(図17の赤枠)。
図17
「SSLサーバ証明書お申し込み」では、「プラン選択」・「お支払いについて」を選択し、必要事項を入力します(図18)。
必要な項目を入力したら「約款のご確認」で、「同意する」のチェックボックスをチェックし(図18の赤枠)、「確認画面へ進む」をクリックします(図18の青枠)。
図18
「プラン・お支払いについて」と「CSR(証明書情報)の内容確認」を確認し、問題がなければ「この内容で申し込む」をクリックします(図19の青枠)。
申し込みが完了すると、申し込みの内容と登録しているメールに「お申込受付完了のお知らせ」が送信されるという内容が表示されます(図20)。
図19
図20
このとき、wwwなしドメインでのアクセスが可能であれば、しばらくすると「JPRS SSLサーバ証明書発行のお知らせ」という件名のメールが送信されます。
wwwなしドメインのアクセスが可能かどうかは、「1.1 wwwなしドメインの設定」で説明した設定をしていれば、特に問題はありませんでした。
4.SSL設定の有効化
送られてくるメールでは、SSL設定を有効化するために、SSLサーバ証明書や中間証明書のダウンロード、各証明書のインストールなど書かれています。
RapidSSLでは、これらの操作が必要だったのですが、JPRSでは必要ありませんでした。
JPRSの場合、「ドメイン一覧」で操作の対象となるwwwなしドメインの「更新」をクリックします(図21)。
「SNISSLが利用可能です」が表示されるので、「有効化の確認」チェックボックをチェックし、「新しい設定を有効化する」をクリックします(図22の赤枠)。
「新しい設定を有効化する」をクリックすると、JPRSの設定が有効化され、メッセージの表示が消えます(図23)。
図21
図22
図23
送信メールの内容は、証明書をダウンロードしてインストールしたり、中間証明書をコピーしてインストールしたり、なんやかんやと書かれています。
RapidSSLをこれまでに2回ほど更新していますが、その際には上記の手順が必要でした。
しかし、現在では、これらの操作は、現在では自動化されているそうです。
それなら、メールに書かれているような内容を必要ないと思うのは私だけでしょうか?
既に必要のない操作は混乱を招くだけのような気もします。
最後に
今回のSSLの設定にあたり、更新切れの2週間ぐらい前から準備を始めましたが、結果的には期限が切れてからの更新となりました。
ここまで掛かった理由は、まずメールでの問い合わせで質問に対して答えが返ってくるまでに3日掛かりました。
このメールでのやり取りを3回行い、気が付いたら期限切れ1日前になっていました。
そこで、問い合わせ方法をメールからチャットにして質問してみると、メールの回答と全く違いました。
例えば、wwwありとwwwなしのドメインが二つあり、どちらで更新をすれば良いか確認したときはどちらからでも構わないと答えられました。
なので、wwwありのドメインから更新を行いました。
しかし、実際にはwwwなしのドメインから行わなければなりませんでした。
後で分かったことですが、上記のサイトでは次のようなことが書かれていました。
www.example.comの「マルチドメイン(上級者設定)」になっている場合は、認証が完了しません。
この場合、サーバコントロールパネルでexample.comでドメインを追加し
・「マルチドメイン(推奨設定)」に設定
・www.example.comと同じパスを設定(設定している場合のみ)
・必要に応じ証明書をインストール
・www.example.com のドメイン設定を削除
私が申し込みを行った時は、以前のリダイレクトの設定でwwwなしとwwwありのどちらのドメインも追加していました。
そして、上記の内容を読んでも、ドメイン設定を削除がインストールした各証明書を削除すれば良いのか、ドメインそのものを削除すれば良いのかよく分かりませんでした。
そこで、チャットで確認したところ、wwwありドメインそのものを削除して、wwwなしドメインの設定で「マルチドメイン(推奨設定)」にするということでした。
最初の申し込みをwwwありドメインでしてしまったので、削除した場合にどうなるか心配でしたが、とりあえず、指示に従ってwwwありドメインを削除しました。
結果的には、この申し込みはキャンセル扱いとなり、wwwなしドメインで再度の申し込みとなりました。
ただ、振り返ってみると、私の場合は、RapidSSLの証明書がインストールされており、wwwありドメインを削除する必要はなく、「マルチドメイン(推奨設定)」にすれば良かったのかもしれません。
今回の件でメールでの問い合わせにはかなり不安が残りますが、チャットではその場その場で質問することができ、手順の確認も出来ました。
メールでも一連の手順を記入したのですが、質問形式ではなかったためか、特に触れられることはありませんでした。
質問内容を事前に決めておけば、チャットの方がお互いに誤解することなく、安心して設定できるかもしれません。
今回の問題を通じていくつか確認できたことがあります。
一つは、HTTP_Strict_Transport_Security(以下、HSTS)の無効化がされていることです。
以前、何も知らずにHSTSの登録を行った結果、自分のサイトのURLが何をやってもhttps化されてしまうため、SSLの更新や新規設定の際に認証ファイルの確認ができませんでした。
今回は、RapidSSLの有効期限が切れましたが、httpのURLでもアクセスできました。
ただし、安全でないサイトとしてですが!
その結果、もう一つ分かったことがあります。
それは、https化されているかどうかでのアクセス数の変化です。
常時SSL化が切れて、安全でないサイトとして表示されるようになった結果、アクセス数が減少しました(図24)。
まぁ、大したアクセス数ではないので、差は分かりにくいですが…。
図24
今回の件で改めて常時SSL 化の重要性を感じました。
RapidSSLより価格の安いJPRS SSLに変更して2年間は更新する必要がないのですが、その間にまた設定方法がどこまで変更されるか、若干の心配があります。
どうも毎年のように設定方法が変わっているので…。
ただ、今回の設定方法はほぼ自動で行われるので、これ以上、設定変更のしようがないと思います。
恐らく、新規にSSL設定を行う人には、このJPRSは価格も安く、設定もしやすいので、お勧めだと思います。
当施設の利用者さんの中にもホームページやブログの開設に興味がある人がいるので、一つの選択肢になりました。
コメント