Lion Server 10.7.2でSSLサービスに申し込んでみた

2011年12月13日

ネットオウルのラピットSSLという認証サービスで年間2100円に勉強がてら申し込んでみました。自己署名のSSLだと信頼されないサイトになってしまうのも動機のひとつです。しかし、Lion ServerでSSLサービスに申し込む情報が不足しているので。悪戦苦闘しながらブログにしました。振り返ってみると5分程度で終わってしまう内容なので、余計な事をたくさんしてしまいました。

ネットオウルのラピットSSLという認証サービスに申し込み済みという例でブログを書きます。

(1)アプリケーション「Server」を起動してCSRを作成する準備

アプリ「Server」を開きます。サイドバーのハードウェアのサーバーを選択して①、SSL証明書の編集ボタンをクリックします。

(2)証明書管理する

(3)まず自己署名を作成します

(3)CSR情報に申請時に必要な情報を含めるには

私は識別できるように。名前には後で出てくるコモンネームになるサイトのURLを入力しました。
「デフォルトの無効化」はチェックを入れておかないと暗号化されたCSR情報が「コモンネーム」と「国名」の情報のみになってしまい所在地や電話番号などの情報を含むダイアログが後で出てきてくれません。

(4)ここはスルーする

シリアル番号は混乱しそうだったので初期値の1のままにしました。まだ、CSR情報を作成する段階なので、そのまま続けるボタンを押しました。

(5)出ました証明書情報入力欄

証明情報入力欄で全て英字で入力です。先の(4)で問題になったCSR情報と関係があるので、この変の情報は忘れないように画面ピクチャを残しておいた方が良さそうです。後に出てくるCSRの暗号化情報に含まれる内容のようです。
メールアドレスは証明書と中間証明書が送られてくるアドレスなのと、変更が効かなくなる部分なので注意して入力したいです。

(6)ラピットSSL指定の2048ビットと同じなので、このままスルー

(7)CSRの作成準備段階だから、このままスルー

(8)よく分からなかったけどデフォルトのままスルー

(9)分からないけど、失敗してもいいから、このままスルー

(10)情報が合っているようだからスルーしました

dNSNameがコモンネームになり目的のSSL用のURLが既に入力されていたのでそのままにしました。iPAddressも自分の固定IPと同じだったので、そのまま続けました。xは同じみの数字です。ここの表記は、正しくはIP Addressじゃないかな?まいいか・・・

(11)とりあえず自己署名の証明書ができました。

自己署名作成とCSR作成の準備が整いました。キーチェーンが許可を要求してくるのでMacOSの管理者とパスワードを入力して許可ボタンを押して完了します。

(12)申請に出すCSRを作成します。

いよいよCSRの暗号の作成です。Serverアプリの①SSL証明書の編集ボタンをクリックします。②目的のサイトと作成した自己署名の証明書を選択して、③の編集メニューより「証明書サイン要求(CSR)を生成...」を選択します。

(13)CSRが作られた!なのでコピーしておいて〜

ネットオウルにCSR情報を送るため、テキストを全て選択して、①コピーをしておきます。保存もできるので分かる名前で保存しておきます。テキストエディターなどで開けます。

(14)いよいよ申請します

ブラウザでSSLサービスのサイトで申請を行います。画面はSafariです。
①は。アクセスできるURLであり、子URLではない、親ドメインを入力するようです。
②CSR情報は先頭と末尾にBEGIN CERTIFICATE(証明書)と記されている事を確認する必要があります。ちなみにMacOSのアプリーションのキーチェーンから作るとPRIVATE CERTIFICATEというようにプライベートになってしまうので申請時にエラーが返ってきます。Serverアプリから作ることをお薦めします。
次に進むボタンを押すと各種情報を入力する画面に進めます。

(入力画面は省略します。画面キャプチャを写し忘れました)

(15)確認画面です!

この画面が見たくて、Serverアプリやキーチェーン、エディタ、Safariをぐるぐると、アップルとネットオウルのサポートに連絡しながら、余計な事したりして時間がかかってしまいました。CSRを作成するのはServerアプリと(3)の「デフォルトの無効化」がカギでした。

(16)やったー「承認します」ボタンが出た

(17)承認完了!

(18)ネットオウルのSSL-BOX管理画面に移動します

認証が終わると英語のメールが届いてインストールする項目に驚きましたが、ここは、Lion Serverを信じて、ApacheやらTomcatやらの文字を無視しました。

数分待って、SSLサービス「ネットオウル」のSSL-BOXの管理画面ボタンを押して、証明書詳細-情報一覧にジャンプして「CERT(SSL証明書)」をダウンロードします。

(19)証明書のインストールというより読み込みなの?

(20)ドラッグドロップでOK

先にダウンロードしておいた、CERT(SSL証明書)を①にドラッグドロップします。CSR作成に含まれる暗号情報とSSL証明書に含まれる暗号情報が異なると警告が出てしまいます。②取り込めたら「証明書を置き換える」ボタンを押します。正直、この辺りの記憶が怪しいです。どのファイルが正しかったのか思い出せません。エディタで編集した拡張子がcsrやらcrt、certとどれが本物なのと焦りましたがダウンロードしたCERT(SSL証明書)です。

(21)証明書に変わったらSSL認証が使えます。

SSL証明書の「編集」画面で自己署名であるオレンジ色のアイコンから証明書の青いアイコンに変わっていたら成功です。

アプリケーション「Server」で目的のWebページのポート番号を443に変更して、ハードウェアのSSL証明書の編集で目的のページに「RapidSSL〜」の証明書を選択したら完了です。

(22)SSL動作しているかどうか確認しました

SSLで証明書確認のダイアログが表示されなくなりました。よかった、よかった。

SSLサイト内であってもポートを80にすればSSLが無効になりますので、使い分けが必要ですね?私のところは、思い切ってフォームサイトと通常サイトを分ける事にしました。

おつかれさまでした。

 

 











すこしMacブログ