ことしのSSLお布施は1.1万円
|hilotech.jp のSSL証明書を更新しましたよー。弊社期末の7月に更新時期が来るようにしたので忘れにくくてラクかも。ん? 期末? …アッ(察し)。
ところで初回導入時 は9,720円で激安だったワイルドカード証明書。実は最近、値上げ傾向にあるようです。背景には円安がどーたら合併がどーたらあるんでしょうが、とにかく高くなりました。昨年使ったSSLストア に行ったら、
- ラピッド SSL ワイルドカード
20,000円
でビックリ! 10,280円アップってどういうことだよ!
しかたないので、おなじ代理店のもちっとお安いメニューである、
- COMODO PositiveSSL ワイルドカード
11,000円
を買うことにしました。これなら 1,280円の追加出費で済む…。ぼくは暗号化とエラー画面のスキップさえできれば、あとはどんなに信用できない局であろうが安いにこしたことないのです。
SSLストアのショッピングシステムは去年ほぼ壊れていたんですが、今年は直ってしかも使いやすくなってました。ということでそこらへんで迷うことはなし。ただ、一回導入してみたら証明書が更新してなくて半日悩み、よく考えたら新しい証明書を使ってなかったことに気づくというポカミスがあったので、手順をちょっとだけメモ:
- 環境は nginx
/etc/nginx
以下に設定ファイルを置く - SSL関連は
/etc/nginx/ssl
- 新証明書用ディレクトリを
/etc/nginx/ssl/_20150703-comodo
とする。更新のたびに実際の証明書を別ディレクトリに置いていくためにこうしている - 各種証明書を以下のように置く
_20150703-comodo/hilotech-jp.crt
: *.hilotech.jp 証明書_20150703-comodo/intermediate.crt
: 中間証明書(COMODOは弱小なので)_20150703-comodo/joined-hilotech-jp.crt
: 上2つをcat
したもの
cat {hilotech-jp,intermediate}.crt > joined-hilotech-jp.crt
- ちなみに hilotech-jp.crt の有効期限を知るにはこう:
# openssl x509 -in joined-hilotech-jp.crt -noout -dates
notBefore=Jun 30 00:00:00 2015 GMT
notAfter=Jul 11 23:59:59 2016 GMT
chmod -R og-rwx /etc/nginx/ssl/_20150703-comodo
ln -s /etc/nginx/ssl/_20150703-comodo/joined-hilotech-jp.crt \
/etc/nginx/ssl/joined-hilotech-jp.crt
として実際に使う証明書のシンボリックリンクを作っておく/etc/nginx/ssl.conf
として SSL 設定ファイルをつくり、
nginx の各 server コンテキストで使用する
listen 443;
ssl on;
ssl_certificate ssl/joined-hilotech-jp.crt;
ssl_certificate_key ssl/hilotech-jp.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
例の POODL 対策で ssl_protocols
は TLS だけにしてある。
そしたら systemctl restart nginx
などとして再起動。
あとはブラウザなどでサイトにアクセスして証明書をチェックしてもいいけど、せっかくなので POODLE チェッカなどを利用するのもいいと思われ。こういうのは GeoTrust も用意してたりします。
ドメイン名だかコモンネームだかを入れてボタン押すだけで、
有名どころのセキュリティホールと証明書チェーンのようすなどをチェックしてくれる。これでOK! また来年までさようなら。
なぜ夏コミ時期に決算書作らなくちゃいけなくしたんだろう…。