IBM Cloud Docs
起点の証明書の管理

起点の証明書の管理

オリジン証明書は、 IBM Cloud® Internet Services が発行する無料の TLS 証明書で、お客様のオリジンサーバーとユーザー間のトラフィックを暗号化します。 無料の TLS 証明書を注文して起点サーバーにインストールしてください。

CIS 起点証明書は、CIS で使用する場合にのみ有効です。

起点証明書の注文

起点証明書を注文するには、証明書署名要求 (CSR) を入力するか、鍵と CSR を生成するための CIS の秘密鍵のタイプを選択します。

証明書の保護対象の起点にあるホスト名 (ワイルドカードを含む) を最大 100 件指定します。 ワイルドカードは、適用範囲の 1 つのレベルのみを表します。 範囲を広げるには、同じ証明書で複数のワイルドカードを使用します (例えば、 *.yourdomain.com*.yoursubdomain.yourdomain.com)。 CIS 起点証明書は IP アドレスを許可しません。

有効期限を指定します。 証明書のデフォルトの有効期間は 15 年です。最短の有効期間は 7 日です。

プライベートキーは、プライベートキーとCSRが CIS によって生成された場合、証明書を注文した直後にのみ利用可能です。

サーバーへの起点証明書のインストール

Apache HTTPD

  1. 起点証明書を注文します。

  2. 秘密鍵と発行元証明書をPEM形式で別々のファイルにコピーし、サーバー上の鍵と証明書ファイルを保存するディレクトリに保存します。

  3. Apache 構成ファイルを見つけます。 通常、ファイル名は httpd.conf または apache2.conf で、場所は /etc/httpd/ または /etc/apache2/ です。 ただしこれは、構成ファイルによって異なります (特にサーバーの管理に特別なインターフェースを使用している場合など)。 Apache を参照して DistrosDefaultLayout デフォルトのインストールレイアウトの一覧は、こちらをご覧ください。 以下のコマンドは、Linux 上で SSL 構成ファイルを見つける方法の 1 つです。

    grep -i -r "SSLCertificateFile" /etc/httpd/
    
  4. 設定する <VirtualHost> ブロックの位置を指定します。 オプションとして、お客様のサイトの既存の非セキュアなバーチャルホストをコピーして、 HTTP と HTTPS で利用できるようにします。接続の種類ごとにバーチャルホストが必要になるためです。

  5. SSL 用に <VirtualHost> ブロックを設定します。 以下の例は、シンプルな SSL の構成を表しています。 証明書およびプライベート・キーのファイル名を使用します。 SSLCertificateFile は起点 CA 証明書のファイル名、 SSLCertificateKeyFile は起点 CA プライベート・キーのファイル名です。

    <VirtualHost 192.168.0.1:443>
      DocumentRoot             /var/www/html2
      ServerName               www.mydomain.com
      SSLEngine                on
      SSLCertificateFile       /path/to/your_domain_name.crt
      SSLCertificateKeyFile    /path/to/your_private.key
    </VirtualHost>
    
  6. 構成をテストします。 Apacheを再始動する前に、構成ファイルにエラーがないことを確認してください。 以下のコマンドを実行して、構成をテストします。

    apachectl configtest
    
  7. Apache を再始動します。 以下のコマンドを実行し、SSL サポートを有効にして Apache を再始動します。

    apachectl stop
    apachectl start
    

SSL サポートが apache start でロードされない場合、コマンド apachectl startssl を実行します。 Apache が apachectl startssl を使用した SSL サポートのみで開始される場合、 Apache の起動構成を調整して、 apachectl start コマンドに SSL サポートを含めることをお勧めします。 そうしないと、サーバーがリブートした場合に、 apachectl startssl を使用して Apache を手動で再始動しなければならないことがあります。 この再起動には通常、お客様の設定を囲む <IfDefine SSL></IfDefine SSL> タグの削除が含まれます。

NGINX

  1. 起点証明書を注文します。

  2. 秘密鍵と起点証明書を、鍵と証明書のファイルを保管するサーバー上のディレクトリーにある個別のファイルに、PEM 形式でコピーします。

  3. NGINX 仮想ホスト・ファイルを更新します。 ご使用の Web サイト用に NGINX 仮想ホスト・ファイルを編集します。 以下の例は、SSL サポート用のサーバー・ブロックを表しています。 HTTP および HTTPS を通じてサイトが利用可能となるように、サーバーブロック内のリスニングソケットで ssl パラメータを有効にしてください。

    server {
      listen    80;
      listen    443;
    
      ssl       on;
      ssl_certificate         /path/to/your_certificate.pem;
      ssl_certificate_key     /path/to/your_private.key;
      location / {
        root    /home/www/public_html/yourdomain.com/public/;
        index   index.html;
      }
    }
    
  4. NGINX を再始動します。 以下のコマンドのいずれかを実行して NGINX を再始動します。

    sudo /etc/init.d/nginx restart
    sudo systemctl restart nginx
    

Apache Tomcat

  1. 起点証明書を注文します。

  2. 秘密鍵と起点証明書を、鍵と証明書ファイルを保管するサーバー上のディレクトリーにある個別のファイルに PKCS #7 形式 (cert.p7b) でコピーします。

    SSL証明書のファイルは、CSRを生成する際に使用したものと同じキーストアに、同じエイリアス名(または「サーバー」)でインストールする必要があります。 次のステップのインストール作業は、SSL 証明書ファイルが別の鍵ストアにインストールされている場合は機能しません。

  3. 証明書をインストールします。 以下のコマンドを実行して、SSL 証明書ファイルを鍵ストアにインストールします。

    keytool -import -trustcacerts -alias server -file cert.p7b -keystore your_site_name.jks
    

    **「証明書の応答が鍵ストアにインストールされました (Certificate reply was installed in keystore)」**という確認メッセージが表示されます。 証明書を信頼するかどうか尋ねられたら、y または yes を入力します。 これで、鍵ストア・ファイル (your_site_name.jks) を Tomcat サーバーで使用できるようになりました。

  4. SSL コネクターを構成します。 SSL コネクターを構成して Tomcat がセキュア接続を受け入れられるようにします。

    1. Tomcat の server.xml ファイルをテキスト・エディターで開きます。 server.xml ファイルは通常、Tomcat のホーム・ディレクトリーの conf フォルダーにあります。
    2. 新しい鍵ストアを保護するために使用するコネクターを識別します。 通常は、ポート 443 または 8443 のコネクターが使用されます。
    3. コネクタを囲んでいる可能性のあるコメントタグを削除します。
    4. コネクターで構成した正しい鍵ストアのファイル名とパスワードを更新します。

    以下の例は、構成済みの SSL コネクター・ブロックを表しています。

    <Connector port="443" maxHttpHeaderSize="8192" maxThreads="150"
    minSpareThreads="25" maxSpareThreads="75" enableLookups="false"
    disableUploadTimeout="true" acceptCount="100" scheme="https"
    secure="true" SSLEnabled="true" clientAuth="false" sslProtocol="TLS"
    keyAlias="server" keystoreFile="/home/user_name/your_site_name.jks"
    keystorePass="your_keystore_password" />
    

    TomcatのバージョンがTomcat 7より前の場合は、 keystorePasskeypass に変更してください。

  5. server.xml ファイルを保存します。

  6. Tomcat を再始動します。

Microsoft Internet Information Services (IIS) 7.0

  1. IIS マネージャーで CSR を作成し、.pem としてエクスポートします。 IIS マネージャーは管理ツールの下にあります。

  2. CSR を使用して CIS 起点証明書を注文します。

  3. 起点証明書を、サーバーのデスクトップにコピーします。

  4. IIS マネージャーを開き、**「接続」**の下でサーバーのホスト名を選択します。

  5. 中央メニューの IIS セクションから、**「サーバー証明書」**を選択します。

  6. 「操作」メニューから、**「証明書の要求の完了」**を選択します。 **「証明機関の応答を指定します」ページの「証明機関の応答が含まれるファイルの名前」の下の...をクリックして、デスクトップにコピーした .cer 証明書ファイルの場所に移動し、ファイルを選択して「開く」**をクリックします。

  7. 証明書の分かりやすい名前を入力します。 分かりやすい名前は、証明書を識別するための名前です。

  8. **「OK」**を選択して、サーバーでの証明書のインストール作業を終了します。

  9. 証明書を Web サイトにバインドします。 IIS マネージャーの**「接続」の下にあるメニューで、サーバー名の下の「サイト」を展開して、対象の Web サイトを選択します。 「操作」メニューから、「サイトの編集」の下の「バインド」を選択します。 「サイト バインド」ウィンドウで「追加」**を選択して、以下の情報をサブミットします。

    Type              https
    IP Address        All Unassigned
    Port              443
    SSL Certificate   your_cert_friendly_name
    
  10. これで、ご使用の Web サイトがセキュア接続を受け入れるように構成されました。

Microsoft Internet Information Services (IIS) 8.0 および 8.5

  1. IIS マネージャーで CSR を作成し、.pem としてエクスポートします。 IIS マネージャーは管理ツールの下にあります。

  2. CSR を使用して CIS 起点証明書を注文します。

  3. 起点証明書を、サーバーのデスクトップにコピーします。

  4. IIS マネージャーを開き、**「接続」**の下でサーバーのホスト名を選択します。

  5. 中央メニューの IIS セクションから、**「サーバー証明書」**を選択します。

  6. 「操作」メニューから、**「証明書の要求の完了」**を選択します。 **「証明機関の応答を指定します」ページの「証明機関の応答が含まれるファイルの名前」の下の...をクリックして、デスクトップにコピーした .cer 証明書ファイルの場所に移動し、ファイルを選択して「開く」**をクリックします。

  7. 証明書の分かりやすい名前を入力します。 分かりやすい名前は、証明書を識別するための名前です。

  8. **「OK」**を選択して、サーバーでの証明書のインストール作業を終了します。

  9. 証明書を Web サイトにバインドします。 IIS マネージャーの**「接続」の下にあるメニューで、サーバー名の下の「サイト」を展開して、対象の Web サイトを選択します。 「操作」メニューから、「サイトの編集」の下の「バインド」を選択します。 「サイト バインド」ウィンドウで「追加」**を選択して、以下の情報をサブミットします。

    Type              https
    IP Address        All Unassigned
    Port              443
    SSL Certificate   your_cert_friendly_name
    
  10. オプションとして、同じIPアドレスにバインドされたSSLを使用する複数のサイトがある場合は、SSL証明書を構成してServer Name Indication(SNI)を使用するように設定します。 **「サーバー名表示を要求する」**ボックスを選択します。

  11. これで、ご使用の Web サイトがセキュア接続を受け入れるように構成されました。

証明書チェーン

場合によっては、起点 Web サーバーが証明書チェーンのアップロードを必要とすることがあります。 これらのリンクを使用して、 ECC または RSA バージョンをダウンロードしてから、証明書チェーンを起点 Web サーバーにアップロードします。

起点証明書の取り消し

CIS 起点証明書を削除します。 この処理は元に戻せません。