レンタルサーバー/SSL証明書

1. レンタルサーバー/SSL証明書

/事前取得 /持込 /NS移転後 /更新

Contents

レンタルサーバー/SSL証明書
証明書の持ち込み
1. さくら
証明書の取得・更新
証明書の置き場
ネームサーバーとの関係
DNS CAA record
ドメイン権利の確認方法
1. dns-01
証明書の持ち込み
JPRS
Let's Encrypt
XSERVER
SSLサイトの移転

有料証明書：　http://www.rental-server.ws/ssl/

SSL済みサイトの移転時の注意 https://www.akiplan.jp/server/ssl_to_ssl.html

SSL化サイトを移転する場合の事前設定 /xserver https://www.xserver.ne.jp/manual/man_server_ssl.php#link-b

証明書持ち込みでサーバー移転前にSSLを設定 https://www.akiplan.jp/server/mixhost.html

EV証明書の表示区別はされなくなっていくのか。

JIPDEC：2018年10月23日 https://www.jipdec.or.jp/topics/news/20181023.html 企業のSSL/TLSサーバ証明書の利用状況を踏まえた常時SSL/TLS化の調査結果

2. 証明書の持ち込み

持ち込めないとはっきり書いているのは、xserver, heteml だ。

持ち込めるところも条件がある。kagoya

mixhostはサーバー証明書の持ち込みができるようだ。

https://rentubtalk.com/server-column/import-ssl/

xserverは不可だった。-- ToshinoriMaeno 2019-08-14 09:47:40

Let's Encryptは採用しない。アルファSSLだけ? https://shared.gmocloud.com/iclusta/option/ssl/

2.1. さくら

https://help.sakura.ad.jp/206054822/ 【独自SSL】他社サーバよりSSL証明書を移行する手順

3. 証明書の取得・更新

Let's Encryptが言うように、証明書は定期的に更新をするのが筋だ。

有効期限を判定するのはブラウザー(利用側)だ、あまりに長い証明書は信用しないのがいい。

/さくら

持ち込めること/移転時持込はサービスの中断を引き起こさないために必要だが、

継続手続き/更新がサポートされているかも重要だ。-- ToshinoriMaeno 2018-07-03 22:02:25
- 自動更新をどう行うか。

/mixhost

mixhostはサーバー証明書の持ち込みができるようだが、サポートはない。期限がきたときに、自動でmixhostのものに切替られるらしいが、なにが起きるか。

自動更新可能にするための条件はなにか。

4. 証明書の置き場

共用のwebサービスを使うのであれば、業者が決めることになる。

書き込みの権限が必要だ。どういう名前で書き込むことができるのか。それが問題になるかも。

5. ネームサーバーとの関係

/証明書取得のためにネームサーバーの移転は必須ではない。(はずなのに)

xserverは必須ではないとの情報あり。(LetsencryptのDV証明書、host 認証)

conoHaは必要らしい。お名前サーバーSDとzcomも。(取得のためのプロトコル次第だ)

SSL/TLSの解説と選び方まとめ https://www.geotrust.co.jp/ssl_guideline

向き合おう、DNSとサーバー証明書 https://jprs.jp/tech/material/iw2017-lunch-L3-01.pdf

共用DNSサービスで懸念されること：

Screenshot from 2018-10-10 07-04-24.png

6. DNS CAA record

CAAレコードによる判断の流れ,CAAレコードの検索における注意点

jpやco.jpなどにCAAレコードは設定していません

証明書発行時のCAにおけるCAAレコード検証を必須化

証明書の申請者が、自身の権威DNSサーバーに設定

7. ドメイン権利の確認方法

DNS(ゾーン)サーバー提供業者から見てのの確認手段

SSL(DV)証明書の取得(発行側から見ての確認手段)　証明書発行側から見ての確認

webサーバー提供業者から見ての確認手段

7.1. dns-01

CAに指定された内容を、自身の権威DNSサーバーに設定

_acme-challengeという、専用のprefixed nameを使用するレコードを設定する。

DNSゾーンに書き込む権限が必要になる。

共用DNSサービスの運用形態により、問題が起こりうる。

8. 証明書の持ち込み

独自ドメイン用のSSL証明書を持ち込めるか。https://rentubtalk.com/server-column/import-ssl/

共用のwebサーバーでも持ち込みはできないところがある。-- ToshinoriMaeno 2018-06-15 00:23:52

レンタルサーバー/転居手順/SSL証明書　をどこに置いて管理しているかによる。

ドメイン名権利者/手続き代行業者(レジストラ)

IIJ： https://www.iij.ad.jp/biz/ssl/menu.html

kagoya: https://support.kagoya.jp/kir/faq/index.php?action=artikel&cat=24&id=208&artlang=ja

NTTPC https://faq.nttpc.co.jp/faq/show/2345?site_domain=solo

さくら (制約に注意)

https://help.sakura.ad.jp/hc/ja/articles/206054822--%E7%8B%AC%E8%87%AASSL-%E4%BB%96%E7%A4%BE%E3%82%B5%E3%83%BC%E3%83%90%E3%82%88%E3%82%8ASSL%E8%A8%BC%E6%98%8E%E6%9B%B8%E3%82%92%E7%A7%BB%E8%A1%8C%E3%81%99%E3%82%8B%E6%89%8B%E9%A0%86

 他社サーバよりSSL証明書を移行する手順
    マルチドメイン証明書や、ワイルドカード証明書のような複数のドメインをカバーする証明書は利用できません。
    対象となるドメインのAレコードの値がさくらのレンタルサーバに向いている必要があります。

DNSレコードを利用しない確認方法を採用していることが分かる。(調べ直す必要あり。-- ToshinoriMaeno 2018-10-09 22:19:59)

GMO coreserver.jp

https://zenlogic.jp/news/topics/2015081901/

http://support.mngsv.jp/option/ssltaiou/

9. JPRS

https://jprs.jp/tech/material/iw2017-lunch-L3-01.pdf 向き合おう、DNSとサーバー証明書

https://xn--jprs-en4c6f6lb8833j45bl69n.jp/ このドメイン名は信用できるのか。
- https://jprs.jp/pubcert/　からのリンクがある。(だけでは十分ではないが)
  - JPRSのサーバー証明書発行サービスは指定事業者制度を採用しています。

10. Let's Encrypt

https://letsencrypt.org/

Moving and merging certs from Server A to B

https://community.letsencrypt.org/t/moving-and-merging-certs-from-server-a-to-b/19015

11. XSERVER

https://naifix.com/xserver-ssl/ エックスサーバー独自SSLが無料！WordPressサイトをHTTPS化する方法

xserverのサービスとして、証明書を取得する方法が説明されている。(持ち込みはできないらしい。)

そのときの条件にDNS(ネームサーバー)をxserverにしておかないと、できないのか。-- ToshinoriMaeno 2018-06-24 14:31:15

12. SSLサイトの移転

稼働中の無料SSLサイトの移転！httpsのままでサーバー移転する方法！ https://deaimobi.com/ssl-site-iten/

持ち込みを認めていない場合の説明がおかしい。-- ToshinoriMaeno 2018-10-16 12:22:30

/移転

MoinQ: レンタルサーバー/SSL証明書 (last edited 2021-11-17 01:09:05 by ToshinoriMaeno)