■CentOS6.2のApacheでSPDYを有効にしたメモ
 GoogleのSPDYが簡単に利用できるようになったようなのでテストしてみたメモ。CentOS6.2環境下だととても簡単。ちなみにCentOS5.xでは標準ではApacheのバージョンがSPDYの条件を満たさないため一工夫必要。以下CentOS6.2がWebServer設定等でatとmod_sslが有効な状態でインストールされている前提でのメモ。ホント簡単。

■mod_spdyのインストール
 mod_sslをGoogleからダウンロードしてインストールする(ここではi386版)
[code]
# wget https://dl-ssl.google.com/dl/linux/direct/mod-spdy-beta_current_i386.rpm
# rpm -U mod-spdy-beta_current_i386.rpm
# apachectl graceful
[/code]

■SPDYが有効になっていることを確認する
 ここではMacOSX 10.6.8で普通に起動したChrome 18.0.1025.165で確認した。

1)新規タブで以下のURLを開く
 chrome://net-internals/#spdy
2)左メニューのSPDY項目をクリックして表示しておく
3)新規タブを開いてSPDYを有効にした試験サーバにアクセスする
 https://www.example.com/
4)SPDY項目のタブに戻る(必要ならSPDY項目を再度クリック)
 SPDY sessionsのホストリストにwww.example.comが表示されていればOK

ChromeではSPDY利用について以下のように標準設定されているよう。
SSLが必ず必須になっていることに注意。
[code]
SPDY Status

SPDY Enabled: true
Use Alternate Protocol: true
Force SPDY Always: false
Force SPDY Over SSL: true
Next Protocols: http/1.1,spdy/2
[/code]

, , , ,
とりあえず付けておく無駄ではなかったなまぁまぁ読めたちょっと役に立ったかなかなり良かったかも (まだ評価されていません)
Loading...

■5年有効で$50 SSL証明書を格安購入する手順
 先頃SSL証明書の更新をしたので、その時の手順を過去記事を再利用しつつ書いておきます。以前はQuickSSL Premiumを採用しましたが、ルート証明書が共通化されたことでRapidSSLがQuickSSL Premiumと同程度に日本の携帯対応するようになったため、より低価格のRapidSSLを採用することに。これにより3年で$198だったものが5年で$50(4000円弱)で購入できるようになりました。(携帯対応がネックで以前は採用できなかったため)以前の記事は下記リンクを参照。

 SSL証明書を格安購入する手順
 http://blog.isnext.net/issy/archives/107

www.servertastic.comでは携帯にも対応しているRapidSSLが格安で購入できます。(2004年以降発売の多くの携帯に対応です)

ここでは仮にSNS Sitesという団体が運営するyour.mynets.netというドメインで運営しているサーバでSSLを取得することを前提にします。

基本的に admin@your.mynets.netでメール受信可能なことが条件になります。postmasterやrootでもOKです。

ーーーーーーーーー

作業のメモ

秘密鍵の作成
# openssl genrsa -des3 -out mynets.key 2048 ←必ず2048で作成する必要があります!

Generating RSA private key, 2048 bit long modulus
…………….++++++
……………………++++++
e is 65537 (0x10001)
Enter pass phrase for mynets.key: (パスフレーズ入力)
Verifying – Enter pass phrase for mynets.key: (パスフレーズ入力)

パスフレーズ要求の無効化
# openssl rsa -in mynets.key -out mynets.key
Enter pass phrase for mynets.key: (パスフレーズ入力)
writing RSA key

CSRの作成
# openssl req -new -key mynets.key -out mynets.csr

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
—–
Country Name (2 letter code) [GB]:JP
State or Province Name (full name) [Berkshire]:Tokyo
Locality Name (eg, city) [Newbury]:Minato-ku
Organization Name (eg, company) [My Company Ltd]:SNS Sites
Organizational Unit Name (eg, section) []:Management Unit
Common Name (eg, your name or your server’s hostname) []:your.mynets.net
Email Address []:admin@your.mynets.net

Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []: (リターンのみ)
An optional company name []: (リターンのみ)

証明書購入手続き
 www.servertastic.comへアクセス
 申請者アカウントを取得

 From: orders@servertastic.com
 Subject: New Account On ServerTastic
 というメールが申請者アカウントのアドレスに届く
 (パス書いてあるのですぐにメールサーバから消すこと)

 個人情報を登録
 basketでRapidSSLを5年buy 5年$50で激安
 カードで支払手続きを先に行う(万が一の際停止可能なカードを推奨)

 From: orders@servertastic.com
 Subject: ServerTastic Order Details
 というメールが申請者アカウントのアドレスに届く(支払い詳細が記載)

 From: sslorders@geotrust.com
 Subject: Please complete your RapidSSL order
 というメールが申請者アカウントのアドレスに別に届くので記載のURLから
 アクセスしてRapidSSLの手続きを行う(GeoTrustのHP)
 日本語表示なので困らないと思います。

 必要な手続きを行うと、指定したドメイン管理者アドレスに
 From: sslorders@geotrust.com
 Subject: RapidSSL Certificate Request Confirmation – your.mynets.net
 というメールが届くのでURLをクリックしてHPから発行承認する

 From: support@rapidssl.com
 Subject: Your RapidSSL order has been completed for your.mynets.net
 というメールで申請者アカウントのアドレスに証明書が届く
 (すぐにメールサーバから消すこと)

証明書をapacheのssl.confの設定に合わせて、keyと一緒に設置する。
中間証明書も添付されてくるので忘れずに追記すること。

ーーーーーーー

servertastic.comで支払い手続きをして、RapidSSL.com(GeoTrust)で発行手続きをするという2段処理ですね。申請者アカウントとドメイン管理者アドレスの2ヶ所に分かれて(同じアカウントで申請するならシンプルです)少しわかりにくいですが、早ければ10分くらいでSSL証明書が入手できるので、便利でした。RapidSSLのカスタマーサポートは返信は少し遅いようですが、キッチリ仕事はしてくれるので安心できます。

またオーダーの進捗状況は以下のURLからログインすることで容易に確認できるので便利でした。ログインには申請ドメインと申請者アドレスが必要です。逆に言えばそれで申請状況が確認できてしまうわけですので、postmasterとかwebmasterとか簡単に判別できそうな代表アドレス(のような複数人で管理対応していそうなアドレス)でSSL申請するのはオススメできません。下記URL経由の手順を踏むことで送信されるメールを読むことができてしまうとキャンセル手続き等も可能になるためご注意を。

https://products.geotrust.com/orders/orderinformation/authentication.do

とりあえず付けておく無駄ではなかったなまぁまぁ読めたちょっと役に立ったかなかなり良かったかも (まだ評価されていません)
Loading...

■au IS12T Fun Lounge版 追加レビュー
 Microsoft主催のIS12T発売イベント「Fun Lounge produced by Windows Phone」に参加して、改めてIS12Tをじっくり触ってきたのとテクニカルセッションでMSの開発担当の方にいくつか質問させていただいたので、その辺を簡単に追加レビューしておきたいと思います。ちなみに前回のレビューは以下です。

 au IS12T デザイニングスタジオ版レビュー
 http://blog.isnext.net/issy/archives/1246

 イベント自体は主催自らパーティと称する気楽な感じのイベントでしたが、たくさんのIS12TやHTC HD7など複数のWP7端末の展示をはじめ、多数のMS製品のショールーム的なスペースで行われたので、ガジェット好きな方にはなかなか興味深いイベントになっていたのではないかと思います。会場ではIS12Tが相当多数展示されてかなり自由に触れたのに加えて、多数のMS社員さんが説明員として配置されていて気軽に質問できるように配慮されており、とても参加者に喜ばれていたように感じました。

 今回IS12Tの製品版ということで、前回のレビューで確認しきれなかったことをいくつか確認してきました。まずはDLNA対応ですが、こちらはLinkCabinetというアプリで実現されているのですが、DLNAクライアントとしては動作せずDTCP-IPにも当然対応していません。あくまでもIS12Tの端末内データをDLNA対応機器で再生できるようにするということで、接続したネットワーク上にDLNAレンダラーが存在する必要があるようです。DLNAサーバとして動作するわけでもないらしいので、他のDLNAクライアントから接続してコンテンツを参照するということはできないようです。Android端末のDLNA対応機は多くがサーバとして動作するタイプのものなので同じように考えているとちょっと残念なことになるかもしれません。

 IS12Tの音質も気になっていたので、ヘッドホンジャックにいつものVictorのHA-FXC71-Bを接続し試聴してみました。Android端末だと通常MicroSDに入れた音楽ファイルを再生するとかするのですが、IS12TにはMicroSDスロットはないので、IE9で自サーバ上に置いた試聴用mp3にアクセスする形で再生してみました。WP7は音質がいいと宣伝されていたところOMNIA7の音質が軽くて疎でバランスが酷い印象だったことでこれは正しくないと感じていたので正直あまり期待はしていなかったのですが、IS12Tは違いました。HA-FXC71-Bと相性がとてもいいようで、高音から中音は素晴らしくクリアで音場も広く密度感も十分に感じさせます。そして低音がしっかり引き締まって全体のバランスをとてもうまくまとめており、正直に言ってこれまで試聴したどのスマートフォンよりも素晴らしいと思いました。女性ボーカルの表情がとても美しく聴こえます。楽曲にもよるかもしれませんが、J-POPやボーカル中心に聴かれる場合には、IS12TとHA-FXC71-Bの相性は本当に最高ではないかと思いました。オススメです。正直音楽プレイヤーとしてだけでもIS12Tが欲しいと感じました。(価格が安ければですが…w)

 前回のレビューで文字入力時に割とミスタッチが多かったと思ったので、こちらも改めて確認してみましたが、これはあまり変わりませんでした。というかMSの方もプレゼンの最中結構文字入力以外でもミスタッチする率が高くて、やっぱりなんだか過敏気味なんだなと思いました。押したところと違うところが反応するというよりは、押したいところの手前で先に反応されちゃってミスになるというような印象です。これはおそらく慣れで在る程度解決できると思うので、深刻な問題というわけではありません。むしろカーブフリックのデモを見て、これを快速に操作できるようにするため、敢えてそのようなチューニングにしているのかなと思ってしまいました。

 今回テクニカルセッションで多少専門的な質問をする機会があったので、二点ほど質問してみました。まずは気になっていたSSL/TLS renegotiation対応の検証でMangoになっても標準搭載ブラウザのIE9がStartSSLのCA証明書に未対応(最近のブラウザはほとんどが標準で対応しているのに)だったことについて、どうしたら対応させる(証明書の登録をする)ことができるのか質問してみました。が、簡単に説明で対応することはできないようで、MSのblogで記事として掲載するということでした。StartSSLは個人でも無償利用可能で非常に便利ですし、ブラウザでのアクセスだけなら一定の操作で先の画面を見ることが可能なのですが、ActiveSync時などはエラーになってしまい回避方法がないため対応はぜひしてもらいたいと思っています。blogの公開に期待しています。

 ※8/29にblogが追加されました。フォローありがとうございます。比較的簡単な手順で追加することができるようです。
  Windows Phone と 証明書について (8/28 イベントフォローアップ)
  http://blogs.msdn.com/b/aonishi/archive/2011/08/29/10201508.aspx

 もうひとつはWindows Phone 7 Connector for Macの日本語対応についてです。本日のデモの中心人物でWP7系の記事に最近よく登場されているエグゼクティブプロダクトマネジャー石川大路さんに直接質問させていただいたのですが、「(Windows Phone 7) Connectorって何だっけ?」と返されてガーン!すかさず別の方が「Macと接続するやつですよ!」とフォローしてくださったのですが、もうこの時点で国内での扱いのレベルが容易に想像されてしまいます…。一応日本語化の取り組みはされているそうですが(国内ではなく米国側でされているらしい言い方でした)まだリリース時期は未定とのことでした。ただMango対応としてちゃんとやっていますよということだったので、もうしばらく待ってみる必要がありそうです。

 IS12Tは25日に発売されてから、3日で既に白ロムが3万前半、MNP一括も条件付き0円が出てくるなど、ものすごい勢いで値下がりをしているのでちょっと先行きが心配ではありますが、むしろ探せば購入しやすい条件が揃っているということなので、ロックフリーでもありますし興味の在る方はぜひ試されてもいいのではないかと思います。少なくとも音楽プレイヤーとしては個人的にはとてもいい選択肢になるのではないかと思います。

【おまけ】
 さて、ところで今日のFun Loungeの中でMicrosoftとしてWP7の活用事例で、音楽や動画をZuneで取り込みSkyDriveにアップしてストリーミング再生で聴くというようなデモをしていたのですが、これってMYUTA事件と同じことになるんじゃないかとちょっと心配してみたり。MS的には大丈夫という見解でプッシュしてるのかなぁ?それとも自分の知る情報が古いままなのかな…。テクニカルセッションで質問することでもないかと思って控えていたら、その後聞くのを忘れてしまった…。個人的にはSkyDriveにアップするとかしないからいいんだけど、やっぱりちょっと気になる…。

 

, , , , , ,
とりあえず付けておく無駄ではなかったなまぁまぁ読めたちょっと役に立ったかなかなり良かったかも (1 投票, 平均値/最大値: 5.00 / 5)
Loading...

■携帯ブラウザのSSL/TLS renegotiation対応の検証メモ
 とある案件でSSL/TLS renegotiation機能の脆弱性の問題に突き当たったため検証したメモ。問題の内容と対策はこちらのページ( http://blog.abacustech.co.jp/blogx/entry/40 )がとても詳しいので参照。Webアクセスをするブラウザ(クライアント)とサーバの両方が問題に対応している必要があるので注意。対応状況が簡単に確認できる方法はそれぞれ以下。

※9/27追記 誤解を与えかねないRTがされていたので追記しておきますが、この検証はiOSやWP7のブラウザにSSL/TLS renegotiation機能の脆弱性が残存しているということを意味しません。SSL/TLS renegotiation機能の脆弱性に対してはRFC5746を実装する対処方法と、脆弱性発見当初実施された「SSL/TLS renegotiation機能に非対応とする」という対処方法があり、実際に非対応を選択しているSSLアクセラレータやロードバランサがあることを確認しています。今回実施しているのはあくまで対応か非対応かの検証であり、脆弱性があるかどうかは確認していません(おそらく脆弱性がある場合はデビル画像がチェックで表示されると推測はします…)。誤解のなきようお願いいたします。ちなみに検証をしようと思った動機は、RFC5746非対応の場合エラーになる事象を確認したからであり、スマホブラウザで該当脆弱性を発見したためではありません。

■サーバ側の対応確認
 ブラウザでQualys SSL Labのテストページにアクセスし確認したいサーバ名を入力する
 https://www.ssllabs.com/ssldb/index.html
 出力結果で、Renegotiationの項目が「Secure Renegotiation Supported」になっていればOK
 そうでない場合はサーバがRFC5746に対応していないことになる
 ※脆弱性発見につながるため自身で責任を持って対応可能なサーバに対してのみ行うこと

■クライアント側の対応確認
 チェックしたいブラウザで以下のテストページにアクセスする
 https://ssltls.de/
 表示されたページ内でペンギンの画像のみが表示されればOK
 デビル画像が表示されたブラウザは使うのを止めた方がいいかもしれない

■スマホブラウザの対応状況(2011年8月17日現在の最新版で確認)
 結果の見方
  ○:ペンギンのみ表示
  △:両方表示せず
  ×:デビルのみ表示

1)iPhone 3GS (iOS 4.3.5 8L1)
 Safari △
 iLunascape 3 △
 Atomic Lite △
 iCabMobile △
 Mercury △
 Opera Mini 6 ○
 Sleipnir △

2)iPad2(iOS 4.3.5 8L1)
 Safari △
 iLunascape 3 △
 Atomic Lite △
 iCabMobile △
 Mercury △
 Opera Mini 6 ○
 Sleipnir △

3)001HT(Android2.3.3)
 標準ブラウザ ○
 FireFox ○
 Dolphin HD ○
 Angel Browser ○
 Opera Mobile ○
 Opera Mini ○
 SkyFire ○

4)OMNIA7(Windows Phone 7 7392)
 標準ブラウザ(IE)△

5)IS12T(Windows Phone 7.5 7720) ※8/27追記
 標準ブラウザ(IE)○

6)Nexus One(Android2.3.4 WhisperCore 0.5.2)
 標準ブラウザ ○

7)GalaxyTab GT-P1000(Android 2.3.3)
 標準ブラウザ ○

8)Eee Pad TF101(Android 3.1)
 標準ブラウザ ○
 FireFox ○

■まとめ
 iOS系は独自実装のOpera Mini以外全滅。WP7もダメ。WP7.5(Mango)では問題ない。Android系は全て問題なかった。この問題に限って言えば、Android端末が最も安心できる選択肢となった。ちなみにssltls.deではStartSSLが利用されているようで、試験中にOpera MobileとWP7系IEのみ(WP7もWP7.5も)証明書対応ができておらず不正警告が表示された。サーバ側では厳密な検証は行っていないが通常OSが最新状態になっていれば問題ないと思われる(CentOS5.6の標準環境+StartSSLでもサーバチェックでBスコアとなり問題はなかった)。この問題では大手でもまだ未対応なサーバが多いらしいのだが、推測するにSSLアクセラレータ等を導入して古いファームウェアのまま動作させているサイトなのではないかと考える。通常は安定して稼働していればあまり手を付けない部分なので必要な対応が遅れている可能性は高いように思われる。事実そのようなサイトをひとつ確認してしまった…。今回の問題はサーバとクライアントの双方で対応されて安全性が担保されるということなので、サーバ運用者はチェックを行い必要に応じた対応をとることをオススメする。

【8/27】IS12Tの発売を受けてWP7.5端末の試験結果を追記して編集。
【9/27】微妙に誤解を招きそうなRTがされていたので注意書きを先頭近くに追記。

, , ,
とりあえず付けておく無駄ではなかったなまぁまぁ読めたちょっと役に立ったかなかなり良かったかも (1 投票, 平均値/最大値: 5.00 / 5)
Loading...

CommuniGate ProにStartSSLの証明書を複数使うメモ

■CommuniGate ProにStartSSLの証明書を複数使うメモ
 さっと覚書程度。無償SSL証明書の入手 【5/11追記】 で追記したのは、こちらの確認をしていたため。最後にTLS接続のブラウザ挙動の試験結果も軽く記載。

■試験前提
 ドメイン:example.com
 サーバ名:mail.example.com
 a) user01はuser01@mail.example.comとuser01@example.comの両方を受信可能にする
 b) user02はuser02@sub.example.comで利用する
 c) user01はsub.example.comでは受信しない
 d) user02はmail.example.comでもexample.comでも受信しない
 e) CommuniGate Proで利用するプロトコルは以下
  SMTP/SMTPS/POP/POPS/IMAP/IMAPS/HTTP/HTTPS
 f) example.com, mail.example.com, sub.example.comのIPアドレスは同一

■CommuniGate Proの設定
 ここでは過去にCentOS5向けに高パフォーマンス環境のインストール記事があるので、そのリンクを紹介しておく。こちらの記事のプロセス1〜6までがおよそのインストール手順となる。

 カスタム版MyNETSとCentOS5で1万人規模のSNSを構築する
 http://blog.isnext.net/issy/archives/384

 ここではCommuniGate Proの管理画面で
[code]  Mail Domain Name : mail.example.com
  Langage : Japanese
  Preferred Charactor Set : UTF8
  Time Zone : (+0900) Japan_Koria
  interface : expert[/code]
 としてスタートする

1)user01の設定を行う
 管理画面>アカウント>ドメイン>mail.example.com>オブジェクトにて
 アカウント作成 に user01 と入力してアカウント作成ボタンを押す
 管理画面>アカウント>ドメイン>mail.example.com>ドメイン設定にて
 画面一番下、ドメインエイリアスに example.com と入力して更新ボタン

2)user02の設定を行う
 管理画面>アカウント>ドメインにて
 ドメインを作成 に sub.example.com と入力してドメインを作成ボタンを押す
 一覧に作成されたsub.example.comのリンクをクリック
 アカウント作成 に user02 と入力してアカウント作成ボタンを押す

 ここまででa-dの条件は完了

■SSL証明書をインストールする
 StartSSLの証明書に関してはこちら参照。ここでは別途作成済みの秘密鍵と証明書をインストールする手順を紹介。

3)mail.example.comの証明書をインストール
 管理画面>アカウント>ドメイン>mail.example.com>セキュリティ>SSL/TLSにて
 鍵のサイズでインポートを選択して、鍵の生成ボタンを押す
 カスタムPEM符号化鍵の入力の入力フィールドが表示される
 そこにmail.example.comの秘密鍵をペーストして鍵の生成ボタンを押す
 PEM符号化証明書の入力フィールドが表示される
 そこにmail.example.comの証明書をペーストして証明書の組み込みボタンを押す
 StartSSLから中間証明sub.class1.server.ca.pemを取得する
 認証局チェーン (オプション)にsub.class1.server.ca.pemの値をペーストして
 認証チェーンの組み込みボタンを押す
 StartSSLのCA証明はCommuniGate Pro標準で組み込み済みなので不要
 最後にSSL/TLSタブ下のPKIサービスをオンにする

 StartSSLの証明書はドメインのみ+指定ホスト名の2つのURLを証明してくれるので、これでexample.comとmail.example.comの2つ分の証明書が組み込まれたことになる。

4)sub.example.comの証明書をインストール(3とほぼ同じ)
 管理画面>アカウント>ドメイン>sub.example.com>セキュリティ>SSL/TLSにて
 鍵のサイズでインポートを選択して、鍵の生成ボタンを押す
 カスタムPEM符号化鍵の入力の入力フィールドが表示される
 そこにsub.example.comの秘密鍵をペーストして鍵の生成ボタンを押す
 PEM符号化証明書の入力フィールドが表示される
 そこにsub.example.comの証明書をペーストして証明書の組み込みボタンを押す
 認証局チェーン (オプション)にsub.class1.server.ca.pemの値をペーストして
 認証チェーンの組み込みボタンを押す
 最後にSSL/TLSタブ下のPKIサービスをオンにする

 これでsub.example.comの証明書も組み込み完了。

5)ユーザがアクセスするHTTPポートを変更する
 管理画面>設定>サービス>HTTPUから画面右側のリスナーのリンクをクリック
 以下の設定を追加して更新ボタンを押す(1行1回)
  80, 全てのアドレス, オフ, なし
  443, 全てのアドレス, オン, なし

 これでHTTP:80とHTTPS:443でユーザがサーバにアクセスできるようになる。証明書の組み込み手順はここまで。

■ブラウザ毎のTLSの動作結果
 CommuniGate ProサーバにHTTPSでアクセスした場合に、TLS1.0の接続が正しく行われて同一IPでmail.example.comとsub.example.comの証明書が適切に選択されるブラウザはGoogle Chrome11とFireFox4だけで、IE8やSafari5はメインドメインになっているmail.example.comの証明書が優先的に適用され、sub.example.comにアクセスした場合証明書が正しくない旨のダイアログが表示されてしまう。ブラウザの仕様によって動作に差があることが確認できた。
 CommuniGate Pro本体で複数の証明書を取り扱う場合には上記に配慮し、ブラウザの選択に注意する必要がある。

…5ユーザまで無償のCommuniGate Proと無償のStartSSL証明書の組み合わせって個人で運用できる最強にセキュアなメッセージングサーバになるんじゃないかという気がする。

, ,
とりあえず付けておく無駄ではなかったなまぁまぁ読めたちょっと役に立ったかなかなり良かったかも (まだ評価されていません)
Loading...

無償SSL証明書の入手 【5/11追記】

最新のブラウザでないと対応してないので注意。
携帯等の最新のもの、もしくはCA証明書追加ができるタイプのものではないと利用は難しいと思われます。昨年10月末ごろは日本からの申請に対応していなかったのですが、現在はjapanを選択すると都道府県名が適切にリストされているようです。

https://www.startssl.com/

個人の住所や電話番号が必須で、登録内容についてはちゃんと確認しますって書いてるけど、どう確認するのか不明。一度入手してみるべきか…。SSL証明書の一部に登録内容が公開されるとも書いてあるんだけど、どこまで出るのか明示はない。

特定商取引法対応で個人情報開示している個人事業主さんには無償で使えるしブラウザを選ぶという点が問題なければいい選択肢かもしれません。

無償取得の手続きは以下のリンク先から
https://www.startssl.com/?app=12

2011/5/11 追記
 TLSの実験のため複数の正規証明書が利用したかったので、こちらのページを参照して実際にStartSSLで無償の証明書を取得してみました。以前懸念していたSSL証明書の一部に登録内容が公開されるというのは問合せ用メールアドレスのみでした。ドメインの所有を確認される際に利用するpostmasterやwebmasterのアドレスにしておけばあまり問題ないと思われます。また無償で発行されるのは1つだけではなく、所有さえしていれば異なるドメイン名やホスト名についても複数の証明書が取得可能ですので、数が多くなると1年更新管理は大変ですが、非常に嬉しい使い勝手を提供してくれています。

 StartSSLの証明書については既に多くのブラウザが対応しており、iPad/iPhoneやAndroid2.2以降(001HTやWhisperCoreの入ったNexusOneでも)でメールの同期やブラウザアクセスで問題なく利用できている(証明書の確認ダイアログ等がでない)ので、1年毎更新とはいえ無償で安心して利用できるという点では非常に嬉しい選択肢だと思います。国内携帯についても古いものは未対応になりますが、スマートフォンが増えてくれば結果的に対応している機種比率が上がっていくので、携帯アクセスがメインでない限りは今後利用検討の対象にしてもいいのではないかと思われます。

 90年代後半では取得手続きやコストでそれなりに大変だったSSL証明書取得がここまでシンプル且つ低コストになるというのは本当に感慨深いものがあります。StartSSLが後発でありながら新興CAとしてシェアを拡大するためには、無償の証明書で認知とシェアを獲得し標準とされるブラウザやOSに積極的にroot証明を組み込んでもらえるように働きかける必要があったということだと推測しますが、個人向け無償というのは大きな判断だったと思います。しばらくいろいろと試させてもらおうと思っています。

,
とりあえず付けておく無駄ではなかったなまぁまぁ読めたちょっと役に立ったかなかなり良かったかも (まだ評価されていません)
Loading...

SSL証明書を格安購入する手順

2009年4月の頃の記事。
現在はQuickSSL Premiumは1つの証明書で3つのサブドメインまで証明できるらしいので更にお得になっているらしい。
低価格のSSL証明ならブラウザを選ぶが無償の https://www.startssl.com/ を利用するのもアリ。

www.servertastic.comでは携帯にも対応しているQuickSSL Premiumが格安で購入できます。(2004年以降発売の多くの携帯に対応です)

1年で$79、3年でも$198です。
業務用途で安全に使うために、コストも安くぴったりだと思いますので、手順のメモをこちらにも公開しておきます。
CentOS5サーバで実際に行った方法です。

ここでは仮にSNS Sitesという団体が運営するyour.mynets.netというドメインで運営しているサーバでSSLを取得することを前提にします。

基本的に admin@your.mynets.netでメール受信可能なことが条件になります。postmasterやrootでもOKです。

ーーーーーーーーー

作業のメモ

秘密鍵の作成
# openssl genrsa -des3 -out mynets.key 1024

Generating RSA private key, 1024 bit long modulus
…………….++++++
……………………++++++
e is 65537 (0x10001)
Enter pass phrase for mynets.key: (パスフレーズ入力)
Verifying – Enter pass phrase for mynets.key: (パスフレーズ入力)

パスフレーズ要求の無効化
# openssl rsa -in mynets.key -out mynets.key
Enter pass phrase for mynets.key: (パスフレーズ入力)
writing RSA key

CSRの作成
# openssl req -new -key mynets.key -out mynets.csr

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
—–
Country Name (2 letter code) [GB]:JP
State or Province Name (full name) [Berkshire]:Tokyo
Locality Name (eg, city) [Newbury]:Minato-ku
Organization Name (eg, company) [My Company Ltd]:SNS Sites
Organizational Unit Name (eg, section) []:Management Unit
Common Name (eg, your name or your server’s hostname) []:your.mynets.net
Email Address []:admin@your.mynets.net

Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []: (リターンのみ)
An optional company name []: (リターンのみ)

証明書購入手続き
 www.servertastic.comへアクセス
 アカウントを取得

 From: orders@servertastic.com
 Subject: New Account On ServerTastic
 というメールが届く
 (パス書いてあるのですぐにメールサーバから消すこと)

 個人情報を登録
 basketでQuickSSLPremiumを1年buy 1年$79で激安
 カードで支払手続きを先に行う(万が一の際停止可能なカードを推奨)

 From: orders@servertastic.com
 Subject: ServerTastic Order Details
 というメールが届く(支払い詳細が記載)

 From: support@rapidssl.com
 Subject: Please complete your QuickSSL Premium order
 というメールが別に届くので記載のURLからアクセスして
 QuickSSLPremiumの手続きを行う(GeoTrustのHP)
 日本語表示なので困らないと思います。

 必要な手続きを行うと、
 From: support@rapidssl.com
 Subject: QuickSSL Premium Certificate Request Confirmation
 というメールが届くのでURLをクリックして承認する

 From: support@rapidssl.com
 Subject: ドメイン QuickSSL Premium Order: ### Complete
 というメールで証明書が届く(すぐにメールサーバから消すこと)

証明書をapacheのssl.confの設定に合わせて、keyと一緒に設置する。

ーーーーーーー

servertastic.comで支払い手続きをして、RapidSSL.com(GeoTrust)で発行手続きをするという2段処理ですね。少しわかりにくいですが、早ければ10分くらいでSSL証明書が入手できるので、便利でした。

とりあえず付けておく無駄ではなかったなまぁまぁ読めたちょっと役に立ったかなかなり良かったかも (まだ評価されていません)
Loading...