お問い合わせはこちら

【図解】SSL/TLSについてわかりやすく解説します(2)導入編

公開
更新

SSLサーバー証明書の本来の目的から、取得する際にも「正しい」申込み者かどうかを明らかにする手続き(認証)があります。その後に鍵(文字の羅列)を発行する手続きをしてから、サーバー上に設置します。これら認証の概要と導入方法について、無料と有料の場合に分けて説明しています。広く普及している無料のLet’s Encryptでは、認証さえ済めばあとは数クリックで完了します。有料のSSLサーバー証明書の導入は難しい場合もあり、作業代行サービスを利用する方法もあります。SSL/TLSを利用されていない方はご検討ください。

前編の「仕組み」について理解していると、こちらの後編はより理解しやすくなります。

【図解】SSL/TLSについてわかりやすく解説します(1)仕組み編

【図解】SSL/TLSについてわかりやすく解説します(1)仕組み編

インターネット上で各種のサービスを利用する際、行き来している大切な情報が書かれているデータは、どのようにして守られているのでしょうか。その実現にはSSL/TLSという技術が役立っています。まさに今ご覧になっているこちらのページでも、この安心できる仕掛けが動いています。現在は導入が楽になり、多くのWebサイトで使われるようになりました。こちらの記事ではSSL/TLSの仕組みと導入方法について、2回に…

SSL/TLSの解説

導入のおおまかな流れ

レンタルサーバーを利用しLet’s Encryptなど無料のSSLサーバー証明書を導入する場合、難しい手続きやサーバー上で高度な設定は通常ありません。レンタルサーバーの管理画面で数か所を選択し、数時間程度待つだけで導入が完了するよう簡素化されています。

もともとは導入する際に専門的な手順がありました。これらを少しでも理解していると、うまくいかない時にも対処しやすくなります。無理のない範囲で理解されることをおすすめします。

手続きが必要な理由

「サーバー証明」された情報そのものが、本当に信用できるかどうかをしっかり示すことです。そのためSSL/TLSの申し込み時には、何らかの方法で必ず本人確認を行います。

おおまかな流れ

確認する程度や方法は、SSLサーバー証明書の種類により異なります。多くの場合、申請者の名称や実際に存在しているかなどを明らかにする必要があります。無料のSSLサーバー証明書では、申請者(利用者)が実施することほとんどありません。一方、有料の場合では自身を証明する公的な書類などを用意するところから始めます。

こちらの記事では、SSLサーバー証明書を便宜上「有料」と「無料」と分けています。大切なことは料金の高低ではなく、SSLサーバー証明書の導入で得られるメリットや機能の違いを理解することと考えます。

無料の場合

多くの場合、申請者自身の設定作業だけで完結します。作業内容はだいたい以下の通りです。

  1. SSL/TLS化したい独自ドメインをサーバー上に設置する
  2. レンタルサーバーの管理画面で、SSLサーバー証明書の申し込みをする(ほとんどの場合、申し込みボタンを押すだけ)
  3. しばらく待つ(数時間かかる場合あり)
  4. SSL/TLS化される

有料の場合

申請者は最初に必要な書類を用意してから、SSLサーバー証明書の発行者に送付するなど審査手続きが必要になります。その後の手順は無料の場合と同様ですが、より複雑になる場合もあります。

それぞれの詳しい設定方法については、この後の章で解説します。

SSLサーバー証明書の種類と選択のポイント

前章で便宜上「有料」と「無料」の2種類あると説明しました。具体的にはどのようなものがあり、また種類があることの意味や選択する際の判断基準は何でしょうか。

種類

大きく分けて以下の3種類あります。取得時の審査は(a)が最も簡易的で、(c)が厳格です。審査が大変なものほど、取得費用が大きくなる傾向があります。

(a) ドメイン認証SSL
(b) 企業認証SSL
(c) EV SSL

詳しい内容は、カゴヤ・ジャパンの公式マニュアルページに整理されています。

SSLサーバー証明書の新規取得
https://support.kagoya.jp/kir/manual/ssl/index.html

種類がある理由

独自ドメインを使った自らのWebサイトを、どこまで信用して利用してもらいたいかにより、取得すべきSSLサーバー証明書は変わってくると言えるでしょう。利用者の用途や目的により補償制度が用意され、最大補償額が設定されている場合もあります。

選択する際の判断基準

利用者にとりWebサイトで扱う情報がどの程度重要で、どこまで対策するかにより選択すべきSSLサーバー証明書は変わります。多くの判断基準がありますが、わかりやすい例は以下の通りと考えています。

【判断例】

扱う情報の内容選択すべきSSLサーバー証明書
機密情報や個人情報を扱わないドメイン認証(無料または比較的安価なもの)
機密情報や個人情報を扱う企業認証、EV

設定方法(1) 無料のSSLサーバー証明書(Let’s Encrypt)の場合

こちらの章では、現在普及し人気のLet’s Encrypt について説明しています。こちらの統計(2022年)によれば、普及率は9%で順位は4位です。無料で利用できるものの中では1位です。

Let’s Encryptの概要についてカゴヤのサーバー研究室では、以下のページで詳しく解説しています。

【無料SSL入門】「Let's Encrypt」とは?設定で挫折しない!使い方解説

【無料SSL入門】「Let's Encrypt」とは?設定で挫折しない!使い方解説

「Let's Encrypt」では、無料でSSL証明書を発行できます。無料のため不安に感じてしまう安全性や、ややわかりづらい設定方法、そしてサイトのリダイレクト方法をご紹介しています。それでは早速見てみましょう。 ※上記はInternet Security Research Groupの商標です。すべての権利はInternet Security Research Groupが保有しています。 「L…

1. 認証からSSLサーバー証明書が有効になるまでの流れ

公開するWebサイトのデータを保管するサーバー上に独自ドメインが設定され、認証用の指定ファイルがあることがわかると認証が行われます。レンタルサーバーを利用している場合は、特別な手続きや設定は通常ありません。具体的な流れは以下の通りです。

(A) 利用者は独自ドメインを取得する
(B) 利用者は契約中のレンタルサーバーの管理画面に、(A)で取得したドメインを登録する
(C) 独自ドメインとサーバーを結び付ける情報が、徐々にインターネット上に浸透していく
(D) レンタルサーバーの管理画面でLet’s Encrypt利用開始ボタンを押す
(E) しばらくすると認証が完了する
(F) SSLサーバー証明書が有効になる

2. レンタルサーバー会社の管理画面で利用手続き

カゴヤ・ジャパンの例でご説明します。こちらのページある画像を引用しています。

管理画面にログイン後、ページ上部のメニューで「SSL」から「SSLサーバー証明書購入」へと進みます。メニュー名に「購入」とありますが、無料のLet’s Encryptの導入手続きも可能です。

次に図にある赤枠のように、それぞれ「ドメイン認証SSL」と「Let’s Encrypt」を選択します。

最後に、図の赤枠部分(コモンネーム)を選択します。カゴヤ・ジャパンの例では、コモンネームはあらかじめ設定を済ませておきます。コモンネームは聞きなれない用語ですが、独自ドメイン名と同じか、またはその一部に相当します。

詳しくは以下のページをご参照ください。

無料SSL(Let’s Encrypt)の利用(公式マニュアル)
https://support.kagoya.jp/kir/manual/ssl_letsencrypt/index.html

設定方法(2) 有料のSSLサーバー証明書の場合

一部の「ドメイン認証SSL」、さらに「企業認証SSL」や「EV SSL」が該当し、導入の流れはだいたい共通です。事例として、カゴヤ・ジャパンで「デジサート サーバー ID EV」を導入する場合について説明します。申請から利用開始までの詳細な手順は、以下のページで公開されています。

デジサート サーバー ID EV の取得
https://support.kagoya.jp/kir/manual/ssl_order/verisign_ev.html

1. 申し込みから審査まで

申し込み

カゴヤ・ジャパンの管理画面で申し込みをします。前章の「無料のSSLサーバー証明書(Let’s Encrypt)」と同じページで申し込みが可能です。こちらのページある画像を引用しています。

図にある赤枠のように、それぞれ「EV-SSL」と「デジサート サーバーID」を選択します。その後に申請者の詳細な情報を画面上で入力し、申請の手続きをします。

審査用の書類提出

申請者が本当に存在しているかを証明するために、公的な書類を取り寄せ送付する必要があります。取得するSSLサーバー証明書により用意する書類は異なるため、余裕をもって事前に確認をしましょう。

審査

SSLサーバー証明書の発行者が、申請内容と書類をもとに審査をします。申請書に記入した電話番号に発行者が実際に電話をかけ、存在確認をしています。以上で「認証」作業は終わります。

2. 専用コード入手とサーバー管理画面での設置

SSLサーバー証明書をサーバーにインストールする作業を行います。一般的にはレンタルサーバー会社の管理画面に、鍵(文字の羅列)を設置します。これは慣れていないとなかなか難しい作業です。設置の際に使われている専門的な用語が難しく、また複数の似たような鍵を正しい場所に設定しなければならないからです。そのため設置作業を代行するオプションサービスを、多くのレンタルサーバー会社が提供しています。

カゴヤ・ジャパンの例では「SSL証明書設置代行」があります。詳細は以下のページをご覧ください。

設定代行サービス|オプション|KAGOYA FLEX|クラウドとレンタルサーバーのカゴヤ・ジャパン

設定代行サービスは、お客様に代わってご依頼の設定を当社エンジニアが実施します。通常ではファイアーウォールの設置など、サービス導入後はお客様自身でインストールや設定を行っていただく必要がありますが、設定代行サービスではお客様に代わって当社エンジニアがサービスの設定変更をします。

知っておきたいポイント

概要と導入方法をおおまかに理解したら、実際に利用する際に役立つ項目をこの章ではまとめています。

SSLサーバー証明書の事例

実は非常に多くのサービスがあります。対象や技術的な性能、申請方法などは以下のページで比較や検討することができます。

ドメイン認証SSL
https://support.kagoya.jp/kir/manual/ssl/quick.html

企業認証SSL
https://support.kagoya.jp/kir/manual/ssl/enterprise.html

EV SSL
https://support.kagoya.jp/kir/manual/ssl/ev.html

カゴヤのサーバー研究室では、有料のSSLサーバー証明書について以下の記事にて詳しくまとめています。

【わかりやすい】 常時 SSL 化とは?未導入の問題点、有料のSSL証明書選択と導入方法

【わかりやすい】 常時 SSL 化とは?未導入の問題点、有料のSSL証明書選択と導入方法

公開サイトの全ページを対象にSSLを設定することを、常時SSL化と呼んでいます。この記事では、未実施の場合に起こりうる問題をまとめました。SSL証明書には種類があるため、目的と予算に応じた賢い選び方を紹介しています。また、SSL証明書をWebサーバーに設定する際のポイントも整理しています。 常時SSL化とは? 常時SSLの「常時」とは24時間というより、Webサイト内のどのページを利用しても、常に…

期限があるため、更新手続きを忘れないようにする

無料でも有料でもSSLサーバー証明書には期限があります。期限が過ぎると無効になり、複雑な手続きをやり直ししなければなりません。Let’s Encryptの場合は90日間です。自動的に更新されるようあらかじめレンタルサーバー会社が設定していることも多いので、導入時に確認しておくと安心です。

有料のSSLサーバー証明書では、契約年数を決めてから申し込みします。期限前になると発行者から更新手続きの連絡があります。忘れずに継続手続きをしましょう。

申し込み後、すぐにはSSLサーバー証明書は有効にならない

この場合は待つしかありません。例えば、レンタルサーバー会社で新規の独自ドメインを取得した直後にLet’s Encryptの手続きをした場合、ブラウザでhppts://から始まるURLでアクセスするとエラーになることがあります。独自ドメインとサーバーとを結びつける情報が、インターネット上に浸透していないことが理由の一つです。

これは具体的には「DNSサーバー」と呼ばれる技術で成り立っています。詳しくは、カゴヤのサーバー研究室の下記記事に解説があります。

【図解】DNSサーバーとは?設定・変更と確認方法

【図解】DNSサーバーとは?設定・変更と確認方法

DNS (Domain Name System) は、インターネットを支える大切な技術です。これがないと、Webサイトやメールの利用ができません。そもそも、ふだん使っている英数字のドメイン名と、Webやメールのサーバー機器にアクセスする番号 (IPアドレス) とは別物です。それらを変換する情報をDNSは保管して、提供するサービスを担当しています。この記事では、ドメイン名とIPアドレスを結びつけるこ…

リダイレクトの設定をする

この場合リダイレクト(転送)とは、SSL化されていないhttp://~でアクセスされたとき、https://~に自動的に切り替わる設定方法です。Googleなどの検索サイトで、自らのWebサイトの検索結果を上位に表示する対策としても効果があります。一例として下記の設定方法があります。

WordPress専用サーバで常時SSL化(http://でアクセス来たらhttps://に強制リダイレクト)したい
https://support.kagoya.jp/kir/faq/index.php?action=artikel&cat=18&id=407&artlang=ja

サーバー業者を引っ越しする際にSSLサーバー証明書も移転可能

特に高価なSSLサーバー証明書を導入していても安心ですね。技術的なことばかりでなく、再取得のコスト負担が軽減するからです。レンタルサーバー会社を変更する場合には、移転前後の業者に実施方法や作業代行サービスの有無などを確認することをおすすめします。

Let’s Encryptを手動で取得する方法

レンタルサーバーを利用していればLet’s Encrypt導入の手続きは、数クリックで完了します。それでも事情によっては、手動でSSLサーバー証明書を取得し、サーバー上に設置しなければならないことがあります。その際に重宝するのが、以下のようなサービスです。

SSLなう! (v2)
https://sslnow.ml/

このサービスでは独自ドメインの「認証」方法として、指定のファイルをサーバーにFTPなどでアップロードし、認証されるようになっています。この方法により比較的容易に認証手続きが完了し、SSLサーバー証明書の円滑な発行が可能になりました。

まとめ

SSLサーバー証明書はWebサイトの目的に合うものを選び、確実に設定することが何より重要です。公開中のWebサイトの利用者に対して、安心してもらえるように用意しているからです。導入方法に少しでも不安があれば、まずは専門家に相談し解消しましょう。