↑日記で日々積み重ねた情報をトップの「わんこのページ」にまとめています。

わんこ日記 [RDF] YouTubeも始めました→


2010-01-04(Mon) IEにも登録されているStartSSLを使ってみる [長年日記]

[サーバ証明書]IEにも登録されているStartSSLを使ってみる

いままで、Webサーバの証明書としては、オレオレ証明書より「第三者が出している証明書の方が良いかなぁ」とCAcertをつかっていた。そして、2006年1月21日の日記のように半年ごとの証明書の更新も続けてきた。

しかし、これもFirefoxなどに認証局の証明書が入っていないので、あとから手動でCA Certのルート証明書をブラウザに登録してあげる必要があって一般的ではなかった。

そんななか、

今年になって、StartCom CAがWindowsのルートCAストアに組み込まれるようになったため、Internet Explorerなどでもこのサイトを https:// で閲覧できるようになった

[高木浩光@自宅の日記 2009年12月30日StartCom CAでコード署名用証明書を取得したより引用]

という情報をみつけたので、早速、StartCom CAで、SSLサーバ証明書を取得してみた。

メールアドレスを登録すると認証コードをメールで送ってきてくれて、Client証明書を作成するとコントロールパネルが使えるようになるので、Validations Wizardでドメインの検証(webmaster@page.on-o.comでメールが受け取るかテスト)されて、そのあとにCertificates WizardでSSL Webサーバ証明書を取得する。

CSRは、StartSSLのWebでも作れるけど、いつもどおりCAcert csrコマンドで複数のサブドメインを持つCSRを作ったけど、CA Ceartとは違い、StartSSLで無料でとれるClass 1では、サブドメインは1つだけしか取れなかった。(少し残念,xmpp用には別途とれるようだけど未調査)

最終的には、ToolBox→StartCom CA Certificatesの「Class1 Intermediate Server CA」から中間証明書をとってきてStartComClass1PrimaryIntermediateServerCA.pemして、apacheの設定は

SSLCertificateFile /etc/apache2/www_server.pem

SSLCertificateKeyFile /etc/apache2/www_privatekey.pem

SSLCertificateChainFile /etc/apache2/StartComClass1PrimaryIntermediateServerCA.pem

[/etc/apache2/sites-available/SSLより引用]

としたら。ブラウザに追加のCA証明書を手動で入力しなくても、おうちサーバでSSLが使えるようになった。

ついでにS/MIME用のデジタル証明書を無料で取得する

メールでの署名や暗号化をS/MIMEでするために、2007年7月4日の日記に書いたように、CAcert.orgThawte Inc.を利用していたりもしていたけれど、CAcertはブラウザにCA証明書がビルドインされていないし、Thawte Inc.は無料でのサービスをやめてしまったので、最近は、COMODO SSLの無償版セキュアEmail証明書を使っている。

これは、CNに名前も入るし、なかなか良い。

今回のStartSSLのSSL Webサーバ証明書を取得するときにStartCOMのS/MIME用のデジタル証明書も手に入ったけど、こちらはCNに名前がはいらないので、まだCOMODOを使い続けることにする。

本日のPingbacks(全0件)

Google Web検索 on-o.com内を検索