ConoHa の VPS にアルファ SSL を設定する手順

conoha Linux
このサイトはアフィリエイト広告(Amazonアソシエイト含む)を掲載しています。
スポンサーリンク

ConoHa の VPS を使用する際に「VPS 割引きっぷ」を使って定期契約をすると、契約期間中は「アルファ SSL」が無料で利用できるというキャンペーンが始まった。

ちょうど VPS 割引きっぷが適用されているサーバーがあったので、アルファ SSL を導入してみました。

環境

  • Red Hat Enterprise Linux release 9.0 (Plow)
  • OpenSSL 3.0.1 14 Dec 2021 (Library: OpenSSL 3.0.1 14 Dec 2021)
  • Apache/2.4.51 (Red Hat Enterprise Linux)

暗号方式について

普段は Let's Encrypt でお手軽に証明書を発行して貰っていますが、久しぶりに自分で準備するので色々調べる機会になりました。

よく使われているRSA暗号方式からECC(楕円曲線暗号)に変えると、同程度の強度のRSAと較べて鍵長が短くなってサーバ側の鍵認証のsign処理が速くなる。
(中略)
ECCだと256bitでRSAの3072bit相当と言われている。

https://gato.intaa.net/net/ecdsa_ssl_cert

強度も高くて速度も速い ECC 256 bit が良さそうな感じですが、アルファ SSL では鍵長が 256 bit では申し込みができない模様...

CSRに含まれる公開鍵の鍵長が2047bit以下の場合お申し込みいただけません。2048bit以上をご指定ください。

https://www.toritonssl.com/support/manual/csr/csr.html

というわけで、いつも通りの RSA 2048 bit で設定を進めます。

アルファ SSL の申し込み

ConoHa のコントロールパネルから「セキュリティ」⇒「SSL」と辿り、SSL サーバー証明書を追加します。

SSL サーバー証明書 申し込み画面で、「アルファ SSL」を選択し、デュアルアクセスを「有効」、認証方式を「DNS 認証」にして次へ進みます。

※「VPS 割引きっぷ」を使用中の場合は、利用料金が 0 円になっていることも確認しましょう。

秘密鍵の作成

以降の作業ディレクトリは /etc/httpd/conf/ で行いますので、それぞれの環境に置き換えてください。

2048 bit でパスフレーズ付の鍵を生成します。

CSR の作成

作成した CSR ファイルの内容を全てコピーしてください。

コピーした内容を CSR 貼付の欄にペーストします。

次へ進むと、申請担当者の入力画面になります。

次の画面で、申請内容を確認しましょう。

「VPS 割引きっぷ」を使用中の場合は、利用料金が 0 円になっていることも確認しましょう。

DNS 認証

ConoHa コントロールパネルの「DNS」画面から対象ドメインを開き、TXT レコードに先程の「認証 ID」を貼り付けます。

※デュアルアクセスを有効にしているので、www 有りと無し(@)の 2 種類とも登録する必要があります。

認証依頼をしてエラーが無ければ申請作業は完了です。

証明書のダウンロード

無事に証明書が発行されたら、それを配置していきます。

ConoHa コントロールパネルの「セキュリティ」⇒「SSL」の画面にある「証明書」のリンクをクリックします。

すると、ダウンロードする証明書の種類が表示されるので、「証明書(PEM)」と「中間証明書(ICA)」をダウンロードします。

ダウンロードした、「証明書(PEM)」と「中間証明書(ICA)」はテキストファイルなので、メモ帳で開き、中身を全てコピーします。

server.crt ファイルを新規作成して、そこにコピーした証明書と中間証明書を貼り付けていきます。

最初に「証明書(PEM)」、次に「中間証明書(ICA)」の順で貼り付けます。

Apache の設定

Apache の SSL 設定ファイルに、今回作成した証明書を読み込ませます。

設定を反映するために、Apache を再起動します。

すると、パスフレーズを尋ねられますので、秘密鍵の作成時に使用したパスワードを入力してください。

秘密鍵のパスフレーズを解除

このままでは面倒なので、秘密鍵のパスフレーズを解除します。

Apache のチューニング

Apache の SSL 設定ファイルに、OCSP ステープリングの設定を追加します。

Apache の SSL 設定ファイルに、HSTS の設定を追加します。

Apache を再起動し、設定を反映させます。

Qualys SSL Server Test

Qualys SSL Server Test でテストした結果は以下のようになります。

DNS CAA の警告が出ていますが、ConoHa の DNS は CAA レコードに対応していないので諦めてください…

ConoHa でサーバーを運用している場合「VPS割引きっぷ」を使った方がメリットがありますね。

VPS 割引きっぷは ConoHa カードでも購入できます!

コメント

タイトルとURLをコピーしました