毎年、管理しているサーバのSSLを更新しています。
利用しているSSLサーバ証明書は、さくらインターネットのSSL JPRS ドメイン認証型(1年)。
去年は、うまくいったのですが、今年は、認証ファイルを設置したのに証明書が発行されなくて苦労しました。
SSLサーバ証明書とは
SSL(Secure Sockets Layer)サーバ証明書は、ウェブサーバとブラウザの間のデータ通信を暗号化し、安全な通信を確保するためのデジタル証明書です。
主な役割は、サーバが本物であることを示すサーバ認証、データの暗号化、ウェブサイトの信頼性の向上です。
公的な団体のサーバを管理しているので、プライバシー保護や信頼性、あと、SEOにも効果があるとのことなので、サイト制作時に、先方に導入を薦めました。
さくらインターネットのSSL JPRS ドメイン認証型を選んだ理由
サーバ証明書には、Let’s Encryptのような無料のSSL証明書もありますが、法人なので、有料のものを選びました。
ただ、サーバの目的が情報提供のみで、オンラインショップのように、頻繁に個人情報のやり取りをするものではないので、安価なJPRS ドメイン認証型にしました。
ファイル認証で苦労※ダブルアドレスオプションONで失敗
3年目の更新なのですが、今年は、証明書の発行がスムーズにいかず苦労しました。
SSLサーバー証明書の更新の流れは、下記です。
①CSRを作成
②オンラインで、証明書の発行の申込
③認証審査(ファイル認証又はメール認証)
④証明書のインストール
⑤確認
毎回、認証審査で、ファイル認証を選びます。
と言うのも、メール認証をするには、該当ドメインのメールアドレスが必要です。
わたしは、クライアントの社員でないので、直接メールを受け取ることができず、クライアントにお願いするしかありません。
ただ、ITが得意じゃないクライアントなので、やりとりが難しい・・・
それで、ファイル認証を選びました。
サーバに該当ファイルをアップロードするだけでOKだからです。
ただ、ここで、ダブルアドレスオプションONを選んだことが失敗の原因でした。
ダブルアドレスオプションというのは、ドメインの前に、www付きでも、なくても、SSL証明書が発行されるというオプションです。
ファイル認証型では、SSLサーバ証明書発行申請をすると、認証ファイルのアップロードのお願いのメールが来ます。
メールに、認証ファイルダウンロードのURLが送られてきて、それをダウンロードして、指定のURLにアップします。
認証ファイルは、[ランダムな文字列].txtです。
コモンネーム(ドメイン名) example.com の場合は、
http://example.com/.well-known/pki-validation/[ランダムな文字列].txt
→https://でも可
ダブルアドレスオプションONを選ぶと、上記のほかに、www付きのアドレスもSSL認証が可能になります。
http://www.example.com/.well-known/pki-validation/[ランダムな文字列].txt
→https://でも可
なお、アップロードするURLですが、well-knownの前に、「.(ドット)」があることに注意が必要です。
また、ドット付きのフォルダですが、FFFTPなどのソフトでは、表示やアップロードができない場合があります。
FFFTPの場合は、ツールバーから「表示」を選択し、「.で始まるファイルを表示」をクリックしてオンのほか、
ホストの設定より、高度のタブを選び、「LISTコマンドでファイル一覧を取得」のチェックを外すことで、処理ができるようになります。
ただ、wwwありでも、なしでも、アクセスが必要です。
わたしの場合は、http://www.example.com/をhttp://example.com/とドメイン名を一致させるために、.htacessのリダイレクト処理をしていたことが失敗でした。
具体的には、下記の一文です。
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
ブラウザのchromeで見ると、www付きでもリダイレクトされて、認証ファイルが表示されていました。
ただ、FireFoxで確認すると、www付きのアドレスではエラーが出て、正しく表示されませんでした。
上記の一文を一旦、削除して、リダイレクトをしないようにすると、SSLサーバ証明書の発行ができました。
ちなみに、すぐではなく、正しく認証ファイルをアップして、1時間程で、SSLサーバ証明書の発行完了メールが来ました。
ダブルアドレスオプションONの設定が曲者でした。
まとめ:毎年の設定は、ルールを残して、前年どおりに
失敗の原因は、前回どおりに、やらなかったことでした。
前回も、さくらインターネットでSSL更新をしたのですが、ダブルアドレスオプションはOFFにしていました。
うまくいった前回どおりにしていれば、失敗は回避できました。
ちなみに、ダブルアドレスオプションですが、申し込み後でも、さくらインターネットにメールで連絡すれば、変更が可能なようです。
結果的に、うまく行きましたが、設定を変える場合は、下調べが必要ですね。
文字ばかりですが、来年失敗しないよう、メモとして残します。