起点の証明書の管理
オリジン証明書は、 IBM Cloud® Internet Services が発行する無料の TLS 証明書で、お客様のオリジンサーバーとユーザー間のトラフィックを暗号化します。 無料の TLS 証明書を注文して起点サーバーにインストールしてください。
CIS 起点証明書は、CIS で使用する場合にのみ有効です。
起点証明書の注文
起点証明書を注文するには、証明書署名要求 (CSR) を入力するか、鍵と CSR を生成するための CIS の秘密鍵のタイプを選択します。
証明書の保護対象の起点にあるホスト名 (ワイルドカードを含む) を最大 100 件指定します。 ワイルドカードは、適用範囲の 1 つのレベルのみを表します。 範囲を広げるには、同じ証明書で複数のワイルドカードを使用します (例えば、 *.yourdomain.com
と *.yoursubdomain.yourdomain.com
)。 CIS 起点証明書は IP アドレスを許可しません。
有効期限を指定します。 証明書のデフォルトの有効期間は 15 年です。最短の有効期間は 7 日です。
プライベートキーは、プライベートキーとCSRが CIS によって生成された場合、証明書を注文した直後にのみ利用可能です。
サーバーへの起点証明書のインストール
Apache HTTPD
-
起点証明書を注文します。
-
秘密鍵と発行元証明書をPEM形式で別々のファイルにコピーし、サーバー上の鍵と証明書ファイルを保存するディレクトリに保存します。
-
Apache 構成ファイルを見つけます。 通常、ファイル名は
httpd.conf
またはapache2.conf
で、場所は/etc/httpd/
または/etc/apache2/
です。 ただしこれは、構成ファイルによって異なります (特にサーバーの管理に特別なインターフェースを使用している場合など)。 Apache を参照して DistrosDefaultLayout デフォルトのインストールレイアウトの一覧は、こちらをご覧ください。 以下のコマンドは、Linux 上で SSL 構成ファイルを見つける方法の 1 つです。grep -i -r "SSLCertificateFile" /etc/httpd/
-
設定する
<VirtualHost>
ブロックの位置を指定します。 オプションとして、お客様のサイトの既存の非セキュアなバーチャルホストをコピーして、 HTTP と HTTPS で利用できるようにします。接続の種類ごとにバーチャルホストが必要になるためです。 -
SSL 用に
<VirtualHost>
ブロックを設定します。 以下の例は、シンプルな SSL の構成を表しています。 証明書およびプライベート・キーのファイル名を使用します。SSLCertificateFile
は起点 CA 証明書のファイル名、SSLCertificateKeyFile
は起点 CA プライベート・キーのファイル名です。<VirtualHost 192.168.0.1:443> DocumentRoot /var/www/html2 ServerName www.mydomain.com SSLEngine on SSLCertificateFile /path/to/your_domain_name.crt SSLCertificateKeyFile /path/to/your_private.key </VirtualHost>
-
構成をテストします。 Apacheを再始動する前に、構成ファイルにエラーがないことを確認してください。 以下のコマンドを実行して、構成をテストします。
apachectl configtest
-
Apache を再始動します。 以下のコマンドを実行し、SSL サポートを有効にして Apache を再始動します。
apachectl stop apachectl start
SSL サポートが apache start
でロードされない場合、コマンド apachectl startssl
を実行します。 Apache が apachectl startssl
を使用した SSL サポートのみで開始される場合、 Apache の起動構成を調整して、 apachectl start
コマンドに SSL サポートを含めることをお勧めします。 そうしないと、サーバーがリブートした場合に、
apachectl startssl
を使用して Apache を手動で再始動しなければならないことがあります。 この再起動には通常、お客様の設定を囲む <IfDefine SSL>
と </IfDefine SSL>
タグの削除が含まれます。
NGINX
-
起点証明書を注文します。
-
秘密鍵と起点証明書を、鍵と証明書のファイルを保管するサーバー上のディレクトリーにある個別のファイルに、PEM 形式でコピーします。
-
NGINX 仮想ホスト・ファイルを更新します。 ご使用の Web サイト用に NGINX 仮想ホスト・ファイルを編集します。 以下の例は、SSL サポート用のサーバー・ブロックを表しています。 HTTP および HTTPS を通じてサイトが利用可能となるように、サーバーブロック内のリスニングソケットで
ssl
パラメータを有効にしてください。server { listen 80; listen 443; ssl on; ssl_certificate /path/to/your_certificate.pem; ssl_certificate_key /path/to/your_private.key; location / { root /home/www/public_html/yourdomain.com/public/; index index.html; } }
-
NGINX を再始動します。 以下のコマンドのいずれかを実行して NGINX を再始動します。
sudo /etc/init.d/nginx restart sudo systemctl restart nginx
Apache Tomcat
-
起点証明書を注文します。
-
秘密鍵と起点証明書を、鍵と証明書ファイルを保管するサーバー上のディレクトリーにある個別のファイルに PKCS #7 形式 (cert.p7b) でコピーします。
SSL証明書のファイルは、CSRを生成する際に使用したものと同じキーストアに、同じエイリアス名(または「サーバー」)でインストールする必要があります。 次のステップのインストール作業は、SSL 証明書ファイルが別の鍵ストアにインストールされている場合は機能しません。
-
証明書をインストールします。 以下のコマンドを実行して、SSL 証明書ファイルを鍵ストアにインストールします。
keytool -import -trustcacerts -alias server -file cert.p7b -keystore your_site_name.jks
**「証明書の応答が鍵ストアにインストールされました (Certificate reply was installed in keystore)」**という確認メッセージが表示されます。 証明書を信頼するかどうか尋ねられたら、y または yes を入力します。 これで、鍵ストア・ファイル (your_site_name.jks) を Tomcat サーバーで使用できるようになりました。
-
SSL コネクターを構成します。 SSL コネクターを構成して Tomcat がセキュア接続を受け入れられるようにします。
- Tomcat の server.xml ファイルをテキスト・エディターで開きます。 server.xml ファイルは通常、Tomcat のホーム・ディレクトリーの conf フォルダーにあります。
- 新しい鍵ストアを保護するために使用するコネクターを識別します。 通常は、ポート 443 または 8443 のコネクターが使用されます。
- コネクタを囲んでいる可能性のあるコメントタグを削除します。
- コネクターで構成した正しい鍵ストアのファイル名とパスワードを更新します。
以下の例は、構成済みの SSL コネクター・ブロックを表しています。
<Connector port="443" maxHttpHeaderSize="8192" maxThreads="150" minSpareThreads="25" maxSpareThreads="75" enableLookups="false" disableUploadTimeout="true" acceptCount="100" scheme="https" secure="true" SSLEnabled="true" clientAuth="false" sslProtocol="TLS" keyAlias="server" keystoreFile="/home/user_name/your_site_name.jks" keystorePass="your_keystore_password" />
TomcatのバージョンがTomcat 7より前の場合は、
keystorePass
をkeypass
に変更してください。 -
server.xml ファイルを保存します。
-
Tomcat を再始動します。
Microsoft Internet Information Services (IIS) 7.0
-
IIS マネージャーで CSR を作成し、
.pem
としてエクスポートします。 IIS マネージャーは管理ツールの下にあります。 -
CSR を使用して CIS 起点証明書を注文します。
-
起点証明書を、サーバーのデスクトップにコピーします。
-
IIS マネージャーを開き、**「接続」**の下でサーバーのホスト名を選択します。
-
中央メニューの IIS セクションから、**「サーバー証明書」**を選択します。
-
「操作」メニューから、**「証明書の要求の完了」**を選択します。 **「証明機関の応答を指定します」ページの「証明機関の応答が含まれるファイルの名前」の下の
...
をクリックして、デスクトップにコピーした.cer
証明書ファイルの場所に移動し、ファイルを選択して「開く」**をクリックします。 -
証明書の分かりやすい名前を入力します。 分かりやすい名前は、証明書を識別するための名前です。
-
**「OK」**を選択して、サーバーでの証明書のインストール作業を終了します。
-
証明書を Web サイトにバインドします。 IIS マネージャーの**「接続」の下にあるメニューで、サーバー名の下の「サイト」を展開して、対象の Web サイトを選択します。 「操作」メニューから、「サイトの編集」の下の「バインド」を選択します。 「サイト バインド」ウィンドウで「追加」**を選択して、以下の情報をサブミットします。
Type https IP Address All Unassigned Port 443 SSL Certificate your_cert_friendly_name
-
これで、ご使用の Web サイトがセキュア接続を受け入れるように構成されました。
Microsoft Internet Information Services (IIS) 8.0 および 8.5
-
IIS マネージャーで CSR を作成し、
.pem
としてエクスポートします。 IIS マネージャーは管理ツールの下にあります。 -
CSR を使用して CIS 起点証明書を注文します。
-
起点証明書を、サーバーのデスクトップにコピーします。
-
IIS マネージャーを開き、**「接続」**の下でサーバーのホスト名を選択します。
-
中央メニューの IIS セクションから、**「サーバー証明書」**を選択します。
-
「操作」メニューから、**「証明書の要求の完了」**を選択します。 **「証明機関の応答を指定します」ページの「証明機関の応答が含まれるファイルの名前」の下の
...
をクリックして、デスクトップにコピーした.cer
証明書ファイルの場所に移動し、ファイルを選択して「開く」**をクリックします。 -
証明書の分かりやすい名前を入力します。 分かりやすい名前は、証明書を識別するための名前です。
-
**「OK」**を選択して、サーバーでの証明書のインストール作業を終了します。
-
証明書を Web サイトにバインドします。 IIS マネージャーの**「接続」の下にあるメニューで、サーバー名の下の「サイト」を展開して、対象の Web サイトを選択します。 「操作」メニューから、「サイトの編集」の下の「バインド」を選択します。 「サイト バインド」ウィンドウで「追加」**を選択して、以下の情報をサブミットします。
Type https IP Address All Unassigned Port 443 SSL Certificate your_cert_friendly_name
-
オプションとして、同じIPアドレスにバインドされたSSLを使用する複数のサイトがある場合は、SSL証明書を構成してServer Name Indication(SNI)を使用するように設定します。 **「サーバー名表示を要求する」**ボックスを選択します。
-
これで、ご使用の Web サイトがセキュア接続を受け入れるように構成されました。
証明書チェーン
場合によっては、起点 Web サーバーが証明書チェーンのアップロードを必要とすることがあります。 これらのリンクを使用して、 ECC または RSA バージョンをダウンロードしてから、証明書チェーンを起点 Web サーバーにアップロードします。
起点証明書の取り消し
CIS 起点証明書を削除します。 この処理は元に戻せません。