民芸的プログラミング 〜ソフトウェア開発日記〜

アクセスカウンタ

zoom RSS SSL の設定でつまづいた話

<<   作成日時 : 2009/02/18 09:21   >>

ブログ気持玉 0 / トラックバック 0 / コメント 2

サイトの構築にあたり、お客様が色々なデータを入力することがあるということで、通信の暗号化をすることになった。
そこで、メジャーな SSL という暗号化技術を採用することになった。
SSL を使うには、サーバー上で暗号化用の鍵ファイルを作成し、それに信頼のおける第三者に電子署名をしてもらわなければならない。
ここで、信頼のおける第三者というのは、あらかじめ「この人は信頼できますよ」とパソコンに登録されている人、あるいは事業者のこと。
一般のユーザーは知らないかも知れないが、Windows だと、Windows を買ったときからあらかじめ、この「信頼できる人」のリストがパソコンにインストールされている。
(厳密には、Windows に付いているというより、Internet Explorer に付いているというべきだ。Firefox は Firefox で別管理のリストを持っている)

今回は、この「信頼できる人」の中で一番有名な、Verisign 社に署名をしてもらうことにした。署名料金は1年間で85,000円ちょっと。決して安くはないが、信頼できる人であり続けるにはコストもかかるので、べらぼうに高いとも言えないかもしれない。

で、Verisign 社では、本当にそのサイトで鍵ファイルが使えるかどうか事前に無料でテストできるサービスがある。
仮の鍵ファイルを作り、仮の電子署名をしてもらい、署名済みの鍵ファイルをサーバーにインストールして、動作を確認するという段取りだ。
この場合、Windows にあらかじめインストールされているリストにはない、テスト用の電子署名がされることになっている。
テストをしたい人は、テスト用のクライアント PC に「この電子署名をした人は信頼できますよ」というデータを自分で入力しなければならない。

私の場合、SSL のサーバー設定なんて滅多にやるものではないから、正直なところ、この手順は得意ではない。
Versign 社のホームページを参考にしながら、サーバーで鍵を生成し、その鍵をホームページ経由で Verisign 社に送り、書名済みの鍵を電子メールで返してもらうところまでは、時間がかかったもののまあうまくいった。

続いて、署名済みの鍵をサーバーにインストールし、テスト用の「この電子署名をした人は信頼できますよ」というデータを Internet Explorer と Firefox にそれぞれ読み込ませ、テスト開始。
ところが、Internet Explorer で「https://〜」と入力してサーバーに接続すると「このセキュリティ証明書は、信頼する会社から発行されていません」という警告が表示されてしまう。
なお、ここで「セキュリティ証明書」というのは、私のサーバー用の鍵ファイルのことだ。
Firefox に至っては同じ趣旨のエラーが表示され、ページ自体が表示できない(例外に登録すればいいらしいが、それではテストの趣旨にそぐわない)。

一度こうやってつまづくと、何が何だか分からない。
Apache の設定を見直したり、設定ファイルのパーミッションを確認したりと手を尽くすのだが、とにかく時間だけが過ぎていく嫌な状態。
クライアント側の問題かもしれないと思い、「この電子署名をした人は信頼できますよ」というデータの削除や再インストールを試みたがそれでもダメ。

何度も何度も見直したところで、やっと原因らしきが見えてきた。
Verisign のテスト用の電子署名ファイルは実は2段構えになっている。
私のサーバー用の電子署名ファイルと、もう一つ、中間証明書というファイルをサーバーにインストールしてやらなければならない。
「私のサーバー用の電子署名ファイル」の信頼性を「中間証明書」で証明して、「中間証明書」の信頼性を Verisign 社が証明するという形になっている。
ここで私は、Verisign 社のホームページを見ながらさらっと中間証明書をインストールしていたのだが、よくよく調べると、Verisign 社の発行している中間証明書には、「本番用」と「テスト用」の2種類があるということが分かった。
私はテスト用の電子署名をもらっているにも関わらず、「本番用」の中間証明書をサーバーにインストールしてしまっていたのだ。
改めて Verisign 社のホームページから「テスト用」の中間証明書をダウンロードし、サーバーにインストールすると、無事、何の警告も無くテスト用のホームページが表示されるようになった。Firefox でもエラーが出ない。

ここまで長い道のりだった気がするのだが...まだテスト段階。この後、本番の鍵ファイルのインストール作業が待っている。

テーマ

関連テーマ 一覧


月別リンク

ブログ気持玉

クリックして気持ちを伝えよう!
ログインしてクリックすれば、自分のブログへのリンクが付きます。
→ログインへ

トラックバック(0件)

タイトル (本文) ブログ名/日時

トラックバック用URL help


自分のブログにトラックバック記事作成(会員用) help

タイトル
本 文

コメント(2件)

内 容 ニックネーム/日時
SSL証明書の取得は手続きも面倒で、サーバの操作も面倒ですよね。しかも年に1回とかなので、毎回脳みそが白紙の状態になっているので効率悪いこと甚だしい。ちゃんとメモ作っておけよという話もありますが、1年の間にSSL業者の申し込みWeb画面や申込書も変更になってたりする罠もあります(苦笑)

ところでSSL証明書の出費金額を抑えることでKakiharaさんにメリットがあるのであれば、業界第2位のThawteが安くてお勧めです。(Thawteも実はVerisignグループの一部なんですが)

http://www.jp.thawte.com/ssl/index.html
ぶりき
2009/02/18 10:44
ぶりきさん、(゚∀゚)人(゚∀゚) ナカーマ

SSL証明書、高いですよね。
会社も、もうちょっと余裕をもって仕事を振ってくれれば、ぶりきさんの紹介してくれたような業者さんを利用できるのですが。
こういうのって、実作業の日数よりも、事前調査の日数などのほうがよほどかかりますからね。

ぶりきさんからの紹介のように、口コミで評判を集められればいいですけれど、値段だけで安い業者を選んでしまうと後から...
kazuyoshikakihara
2009/02/18 13:42

コメントする help

ニックネーム
本 文
SSL の設定でつまづいた話 民芸的プログラミング 〜ソフトウェア開発日記〜/BIGLOBEウェブリブログ
文字サイズ:       閉じる