読者です 読者をやめる 読者になる 読者になる

リア充爆発日記

You don't even know what ria-ju really is.

最も安い費用でそれなりのSSL証明書をゲットする方法のメモ

SSL証明書にはドメイン認証方式とか企業認証とかあるけど、とにかく個人情報を守れればよい、ということであればお安いドメイン認証方式でいい。もっとくわしく知りたい人はその辺でググってみてちょ。

ドメイン認証方式で一般的に信用度があって、よほど変なブラウザじゃない限りほとんどのブラウザがカバーされてて一番安いのはたぶんRapidSSL。で、その中でも代理店ごとにだいぶ価格が違うけどリア充調べでは、最も安いのは海外だけどSSLMatrixという会社だった。価格以外の信用性というところでこの会社で良しとするかどうかは各々の判断に任せるとして、リア充的には支払いにPayPalが使えるという点でクレジットカード情報を預けないでいいから良しとした(住所とかの情報は預けるけど)。
いちおう

  • サーバ台数無制限
  • 30日理由を問わずの返品可能
  • 無料再発行
  • $5000までの保証

など、だいたいの条件において他社と比較しても文句のない内容になっている。


CSRを作成する

あとで、必要になるCSRという証明書を要求するためのものを作成しておく。
やり方はOSごとにいろいろあると思う。ジオトラストにもやり方が載ってる。https://www.geotrust.co.jp/support/ssl/csr/
今回はMacでやった時のログ。ちなみにCSRはどこで作ってもいい。

# パスフレーズなしで鍵を作る。パスフレーズありで作りたい場合はググって。これはなくしたらアカン。
openssl genrsa -out example.ssl.key 2048
# CSRを作る。この後、いろいろ質問事項が出てくるのでちゃんと答える。部署とか、いらんものは直Enterでよい。A challenge password も入れないでいい。
openssl req -new -key example.ssl.key -out example.csr

ポイント的には今回はワイルドカード証明書なのでCommon Nameのところで"*.example.com"と入れること。

このexample.csrをあとで使う。


申し込む

今回はRapidSSLワイルドカード証明書をゲットする。
ワイルドカード証明書ってサブドメイン含む、複数ドメインを1つの証明書でカバーしてくれるやつのことね。サブサブドメインとかはダメみたい。もっとくわしく知りたい人はその辺でググって。
商品を選択して、住所とか入れていく。ちゃんと入れて登録ボタン(UPDATEボタンだったかな・・・)を押すと、画面が変わらない風なのでバリデーションに引っかかったかな?と思っちゃうけど、右のバーを見ると名前が出ていて登録されていることがわかる。登録内容の下側に支払い方法(Payment method)を選択するところがあるので"2CheckOut"を選んでいくとPayPalで支払うことができる。

それぞれのステップで最初に登録したアドレスにメールが送られてくる。


証明書の設定をする

支払後、右メニューにある"My Dashboard"から、注文履歴に行けるので、そこからDetailに飛ぶと、そこに設定画面へのリンクボタン(Counfigre SSLボタン)とそこで必要になるPINコードが書いてある。まあ、PINコードは設定画面へのリンクにクエリストリングで書いてあるからコピらなくてもいいんだけど。
リンク先でPINコードとキャプチャの入力をクリアするとさっき作っておいたCSRの入力画面になるので、example.csrの中身をコピペする。

次の画面で各事項を確認していく。

  • 証明書の内容確認
    • 特にやることなし
  • ドメイン認証
    • ドメイン認証のしかたとして指定のアドレスにメールを送信する手続きをとる。この送信先メールアドレスはある程度決められているので、そのアドレスを用意する。これはエイリアスとかでも問題ない。
  • サーバタイプ
    • ApacheとかIISとかを選ぶんだけど、今回はAWSのELBに設定する予定なので"Other"を選択した。
  • Administrator Contact Information
    • 何かあったときの連絡先。テキトウに入れておく。
  • Technical Contact Information
    • Administrator~と同じ

で、最後利用規約に同意するをチェックすれば終わり。申請者として登録したアドレスにRapidSSL(メール送信元ドメインverisign)からこんな感じのメールが2通送られてくる。

Dear Certificate Administrator,

A request has been made to view the order information for Order ID 99xxxx44 issued to *.example.com

On the order information page you can perform the following, if applicable to the product:

  • View the authentication status of the order
  • View comments published by our support team
  • Pick up your certificate (including the intermediate cert if applicable)
  • View the certificate details
  • View the order details
  • Reissue the certificate
  • Resend order emails

To continue, please visit https://products.geotrust.com/orders/orderinformation/information.do?pin=hogehoge

1通目のこちらは、今後ユーがオーダーしたSSLの状況はこっちのリンクから確認できるよ、という内容。このリンクから後述の認証メールの再送ができる。

ORDER ACKNOWLEDGEMENT

Order Reference Number: 99xxxx44

Thank you for your SSL Certificate order. This email is an acknowledgement that you have placed an order. This email also contains important information on how to complete your order and receive your certificate.

We will send two other emails before the order can be completed:


Email 1: Telephone Authentication

                                                                                                        • -

To the APPLICANT we have sent a Telephone Authentication email. If you have already successfully completed the Telephone Authentication you may ignore the Telephone Authentication email. If you have NOT successfully completed the Telephone Authentication during enrollment, please now refer to the Telephone Authentication email for instructions on how to proceed.

Email 2: Approver Email

                                                                                                        • -

When you have successfully completed the Telephone Authentication, we will send an Approver email to the designated APPROVER email address. You would have already selected the Approver email address during enrollment. This would either be:

  • The email address associated with your WHOIS contact (if you are unsure, you can check this address by searching the WHOIS database at www.nic.com).
  • A generic email address such as admin@yourdomain.com, webmaster@yourdomain.com, root@yourdomain.com, etc.

Unless the Approver receives this email and approves the application by clicking on the link within the email, YOUR CERTIFICATE CANNOT BE ISSUED. If you own the Approver email address please check any spam filters and virus protection folders in case the email has been quarantined.

TRACK THE STATUS OF YOUR ORDER ONLINE: visit https://products.geotrust.com/orders/orderinformation/authentication.do to view the status of your order and any comments published by our support team about the authentication process.

Thank you again for your order. If you require assistance, please contact RapidSSL Wildcard support using the details below.


Thanks,

こっちのメールにはこれから2通りの認証、すなわち電話認証とメール認証の手続きメールを送ります。と書いてある。電話認証するんか。で、このメールは5分やそこらでは送られて来なかった。・・・と思ったら申請者や管理者として登録したメールアドレスではなくて、登録ドメインのメールアドレス(例:admin@example.com)に送られているだけだった。そりゃそうか。

最初は登録ドメインのメールサーバを用意していなかったので、急遽jenkinsサーバとかで使っているさくらのVPSpostfixを立ててadmin@登録ドメイン.comで受けられるようにした。

オーダー受付メールに記載されているジオトラストのリンクから、認証メールが再送できるページにいけるので、そこから再送して認証メールを受け取る。認証メールはこんな感じ。

You are receiving this email because you are the Domain Administrator for *.example.com and the person identified below has requested a RapidSSL Wildcard certificate for:

*.example.com←実際は登録するドメイン
example.com


Applicant Information:
Name: ria 10 ←実際は登録したちゃんとした情報
Email: admin@myaddress.example.com
Phone: 012-345-678

ria 10 requests that you come to the URL below to review and approve this certificate request:

https://products.geotrust.com/orders/A.do?p=hogehoge

Please follow the above link and click either the I APPROVE or I DO NOT APPROVE button.

When you click I APPROVE the certificate will be issued and emailed to the Applicant, Approver, and Technical contacts.

If you click I DO NOT APPROVE the certificate application will be cancelled.

Thanks,

で、このメールに記載されているリンク先で、"I APPROVE"ボタンをクリックすると、手続きが完了して証明書付きのメールが送られてくる。

こんな感じ。

ORDER COMPLETE

Congratulations! Your RapidSSL Certificate has been issued and is pasted at the bottom of this email.

Certificate installation instructions for many popular web servers are located at:

http://www.rapidssl.com/resources/install/index.html

When you have installed your certificate we strongly recommend that you back up your certificate. The installation instructions contain directions on how to backup.


Self-Service Reissuance

                                                                                                        • -

If you did not choose to purchase Reissue Insurance during enrollment you may purchase it at any stage by visiting the URL below. If you have Reissue Insurance you will qualify for free reissues during the lifetime of certificate.

https://products.geotrust.com/geocenter/reissuance/reissue.do


Refund Policy
-----------------------------------------------------
If the certificate does not work as intended, and you need a replacement or a refund, RapidSSL.com will cancel, reissue or refund fees following issuance or renewal of a certificate upon request by the Subscriber within seven (7) days of issue date. To request a cancellation, refund or a reissue, a Subscriber should email the request to support@rapidssl.com.


Sincerely,

Client Services
www.rapidssl.com/support


----------------------------------


Your RapidSSL certificate:

-----BEGIN CERTIFICATE-----
~~~~~~~~~~~~
~~~~~~~~~~~~
~~~~~~~~~~~~
-----END CERTIFICATE-----

・・・あれっ?電話認証は??
まぁいいか。

とにかくこれでSSL証明書ゲット完了ということで。


追記)実際に証明書を利用したあと、やっぱワイルドカード証明書じゃなくていいことが発覚した。新しく通常の証明書を取得するとともに、30日以内の無条件リファンドも行ったので、その記録も残しておく。

新規取得は特にワイルドカード証明書と変わらないので割愛。

キャンセルを行う

SSLMatrixのサイトでは、注文時に会員登録をするため、オーダーの履歴がダッシュボードから確認できる。で、そこに「Action」という”Cancel”が選択できるプルダウンがあったので選択肢、「Go」ボタンを押したらエラーになった。しかもその画面が障害でのエラーとかじゃなくて、なんていうか、↓みたいなPHPが吐くエラーメッセージがでてるだけ、という状態。

Parse error: syntax error, unexpected '{' in /home/xxxx/xxxxx/xxxxx.php on line 19

これ、もともと動いてないだろ、みたいな。
うわー、やっちゃったわー。キャンセルさせるつもりないわー。と暗い気持ちになったが、諦めず問い合わせメール(英文)を送信。

で、予想に反して24時間以内くらいで返事はきた。内容はけっこう雑なので何回かやりとしたけど、だいたい48時間以内には返事はきた。結論を先に書くとリファンドはちゃんとできた。


「キャンセル手続きをすると、即使えなくなるから今使っているやつを全部アンインストールしたら、以下のリンクからキャンセル手続きをしろ」というベリサインのリンク付きのメールがきた。

Hi Ria10,

When you request cancellation of ssl, you must remove ssl from all the websites and servers you installed it. You've installed the wildcard ssl certificate purchased from us. You need to remove it first then go to the below website and cancel the certificate.

https://products.verisign.com/orders/orderinformation/authentication.do

You can access your order there and cancel ssl certificate.

言われたとおり、ここでキャンセル手続きをしたが、これでOKなのかどうかもわからなかったし、いつリファンド手続きが完了するかわからなかったので再度質問したところ、「アンインストールしてキャンセル手続きをしろ」と同じ内容がきた。

もうしてるつーの。で、もうしてるっつーの、というメールを出したら、その返信が来る前に2checkout.comからリファンドの手続きが完了した旨のメールが届いた。7−10日以内にクレジットカードの明細でリファンドの確認ができるだろう、とのことだった。

なお、その後、追いかけるようにしてきたsslmatrixからのメールは以下の様な内容だった。

Hi Ria10,

Your order is cancelled and refund issued.

Great Thanks,

というわけで、何はともあれ、結果的には割りとスピーディーにリファンドは完了した。
なお2checkout.comとは、Paypalの代理店のようなもので、Paypalで使えないカードなどもサポートしていたり、利用履歴に基づいたプロモーションメールなどが届かない、といったようなメリットのあるオンライン決済サービスらしい。

めでたし。