会社サーバーに SSL 証明書を導入してみた 
経緯
まだ未確定な部分が多々あるのであまり公にはできないのですが、やっと会社としての初めてのお仕事がもらえそうです。この不況時になんてありがたい…。
で、せっかくなので、会社のサーバー (まさにこのサイトを動かしているサーバーですね) をソースやタスクの管理に利用しようと思いたったのですが、情報が外部に漏洩するリスクは極力抑えなければなりません。
そこで、秘密の情報を扱うページに認証をかませ、さらに SSL による暗号化をかませることで、通信路の安全性を確保することを考えました。これ、ちゃんとやろうとするのであれば、SSL 証明書を正規の認証局に発行してもらい、それを導入する必要があります。仕事で使うものを個人認証局でごまかして客先で警告ダイアログとか表示されちゃったら信用失っちゃいますし、そうでなくても産総研のあのお方とかに見つかって Dis られでもしたものなら今度は社会的な信用を失っちゃいますからね (^_^;A 。
検討
とはいえ、SSL 証明書の発行にはお金がかかります。特に、 VeriSign 社の証明書など導入しようものなら、もっともリーズナブルな「セキュア・サーバID」でも年間 85,050円とかしちゃいます。これまで仕事に恵まれず、公共料金を浪費し続けていただけの弊社の資金からはとてもとても捻出できません><。
でも大丈夫。探せばもっともっとリーズナブルな証明書は見つかるのです。というわけで、今回は DigiTrust 社さんの「DigiTrust Standard」を利用させていただくことにいたしました。とりあえず 1年契約で 15,540円。これなら社員一人の超零細企業でも何とか手が出る金額設定です。
購入
まず、申し込みフォームにいろいろ入力する前に、実際に SSL 証明書を導入するホスト上で CSR (Certificate Signing Request = 署名要求) を作る必要があります。やり方は DigiTrust 社のサイト上にばっちり書かれています。弊社の場合、使用しているデルタ1 が CentOS で、Apache2 も mod_ssl も最初から入っていたので、書かれている通りにコマンドを入力するだけで ok でした。できあがったファイルは rsync などを使って手元のマシンに転送すれば良いでしょう。
あとは申し込みフォームに必要事項を記入すれば、翌日には請求書が PDF で送られてきます。で、請求通りに銀行に振り込むと、即座に証明書のファイルが送られてきます。早い!!
設定
設定方法も、DigiTrust 社さんのサイトに書かれています。こちらも概ね書かれている通りにすれば ok です。ただ、弊社の場合、 iptables でポートフィルタリングしていたのをすっかり忘れていたために (^_^; 、https スキーマから接続しようとしても応答せず、そこで 2時間ぐらいハマりましたが (バカだ… orz)。
確認
とりあえずこんな感じです。これから、この配下に開発リソースをいろいろと追加していく予定です…。ウヒヒ。
2008 年 12 月 17 日 by 村山 俊之