|
証明書導入までの4つのステップ
|
日本ベリサインのWebサイトからSSLサーバ証明書を購入する例を紹介 |
サーバと利用者の架け橋となって、Webサイトの安全な利用を支えるSSLサーバ証明書。オンラインショップなどのサービスを展開する事業者にとって、利用者の名前や住所、ID/パスワードといった重要情報を安全にやり取りするのに欠かせない存在です。
サーバ証明書を実際に導入するにはどうすればいいのでしょうか。基本的には認証局に申請して導入手続きを踏むことになります。そこで今回は、日本ベリサインのSSLサーバ証明書「ベリサイン サーバID」を例に、自社サーバでオンラインショップを営む会社がサーバ証明書を導入するまでの流れを紹介します。手順は大まかに以下の4ステップに分かれます。
サーバ証明書を導入するまでの流れ
- 申請の準備
- オンライン申請
- ベリサインによる申請団体(企業)の認証証明書の発行
- 証明書のインストール
各ステップの具体的な内容を見ていくことにしましょう。
導入する前の注意点
日本ベリサインでSSLサーバ証明書を取得できるのは、日本国内に法人登記のある団体(株式会社、有限会社など)、公共団体、特定の国家資格取得者の所属事務所に限られます。法人登記されていない団体、個人事業主、海外法人などは証明書を取得できないので注意してください。
【1.準備編】CSRの生成は慎重に
証明書導入の最初のステップは「申請の準備」です。その内容は次の3つです。
- 申請に関わる担当者を決める
- 申請書類を準備する
- CSR(証明書署名要求)を生成する
準備作業の一番のポイントは3のCSR(Certificate Signing Request)の生成です。CSRとは、サーバ証明書に記載される事柄をひとまとめにしたデータのこと。この中に申請団体の名前や所在地などの情報(ディスティングイッシュネーム)と、証明書を導入するサーバとひも付けられた「公開鍵」が含まれます。
CSRを生成するには、まずSSL通信の際にサーバで使用する鍵(公開鍵・秘密鍵)を作り、Webサーバソフト(またはSSL通信ツール)に用意されたCSR生成機能を実行してディスティングイッシュネームを入力します。手順は使用しているWebサーバソフトによって異なります。
CSRは証明書の取得申請に欠かせないデータで、これをもとに認証局はサーバ証明書を作ります。入力したディスティングイッシュネームは、証明書にそのまま表示されます。入力に不備があると訂正申請が必要となるため、特にディスティングイッシュネームを入力する際は入念にチェックしましょう。
1の担当者については、申請に関する一切の責任を負う「申請責任者」、実際にサーバ証明書を運用する「技術担当者」、書類送付や決済などの連絡窓口となる「事務担当者」の3人を登録することになります。申請団体のひとりの人間が複数の担当を兼任しても差し支えありません。ただし、「申請責任者」には管理職相当(課長職以上)の役職者で登録する必要があります。サーバ管理の業務を社外に委託している場合は、その業者の担当者を技術担当者にすることもできます。
2の証明書類には以下の4つがありますが、用意しなければならないのは「必要になるケース」に該当する場合のみです。これらについては後述する「実在性・ドメイン名の調査」の項目でも詳しく説明します。
サーバ証明書の申請に必要な書類(日本ベリサインの場合)| 用意する書類 | 必要になるケース |
|---|---|
| ドメイン名の使用に関する許諾書・誓約書 | 申請団体名義でないドメイン名、所有名義を確認できないドメイン名を利用する場合 |
| 電話番号証明書類(電話料金の請求書など) | ベリサインが利用する第三者機関のデータベースで電話番号を確認できない申請団体の場合 |
| 申請責任者の在籍証明書 | 申請団体の人事・総務関連部署への電話で、申請責任者の在籍確認、役職照会ができない場合 |
EV SSL証明書を取得する場合は
EV SSL証明書を取得する流れはSSLサーバ証明書の場合とほとんど同じですが、複数の申請書類を提出する必要があります。提出書類は申請団体や申請条件によって異なります。
・EV SSL証明書の利用規約同意書
・EV SSL証明書の申請責任者確認書
・代表者印の印鑑登録証明
・組織の英文表記名を証明する書類(定款など)
・申請団体の各時用法を証明する弁護士意見書
【2.申請編】オンライン申請・購入する証明書製品を選ぶ
準備が整ったら、いよいよ申請です。日本ベリサインではオンライン申請システム「ストアフロント」のページで手続きができます。なお、日本ベリサインの販売代理店(パートナー)からSSLサーバ証明書のクーポンを購入した場合も同様です。
ストアフロントでは、取得する証明書の製品を選択し、【準備編】で紹介した各担当者、CSRなどの申請情報を入力します。
|
実際の購入手続きは「ストアフロント」から行なう(トップページからログイン可能)。ストアフロントの利用には企業情報などの登録が必要 |
日本ベリサインのSSLサーバ証明書の製品には「グローバル・サーバID」と「セキュア・サーバID」の2種類があります。グローバル・サーバIDには暗号化通信に使う鍵の拡張機能があるほか、証明書の誤発行などにともなう事故が発生したときの損害賠償額が最高25万USドル(セキュア・サーバIDは10万USドル)に設定されています。
また、いずれの証明書も有効期限は1年間または2年間のどちらかを選べます。2年間のタイプには、証明書を短期間で更新する手間が省け、価格も割安になるメリットもあります。この点を踏まえ、オンラインショップの運営計画にあわせて選びましょう。
「ベリサイン サーバID」の製品価格(税込)| 製品名 | 1年間有効 | 2年間有効 |
|---|---|---|
| グローバル・サーバID | 14万4,900円 | 27万7,200円 |
| セキュア・サーバID | 8万5,050円 | 16万650円 |
支払方法は、銀行口座への振込のみです。ストアフロントで必要事項をすべて入力・送信すると、専用の振込先口座が通知されます。その口座に入金し、証明書類(必要な場合のみ)を日本ベリサインに送付すれば手続きは完了です。
【3.認証編】登録した担当者に電話確認がある
こうして申請を受け付けると、日本ベリサインは申請団体についての認証を行ないます。認証といっても業務内容や業績が問われるわけではありません。認証するのは「団体の実在性」「ドメイン名の所有名義」「申請の意思」という、実在する申請団体による、なりすまし申請ではないという事実です。
これらの確認は、日本ベリサインが同社の認証局運用規定に則った認証として実施されます。具体的な認証方法は次のとおりです。
法人登記の事実
帝国データバンクの信用情報データベースを照会します。ここで申請団体を確認できない場合は、登記事項証明書(登記簿謄本)を利用して確認します。ただ、日本ベリサインでは、登記事項証明書を代行取得するサービスを無料で行なっています。
ドメイン名の所有名義
ドメイン登録機関のWHOISデータベースを参照して確認します。ドメイン名の所有者が確認できないときや、所有者名と申請者名が異なるときは、そのドメインを申請団体だけが使うことを約束する許諾書・誓約書が必要になります。たとえば、社員が個人名義で取得したドメイン名を、会社のオンラインショップで使っている場合は、その社員が「ドメイン名使用許諾書」を作成し、社員の名刺を添付して日本ベリサインに提出しなければなりません。
申請責任者・技術担当者の実在の確認
電話で行ないます。その手順は少し複雑で、(a)申請団体の代表電話番号を第三者機関のデータベースで調べ、(b)その代表番号に電話をかけて団体の総務・人事関係部署に申請責任者の在籍・役職・連絡先を確認し、(c)その連絡先に電話をして申請責任者にコンタクトをとり、購入製品名、技術担当者の名前などの確認のほか、申請責任者の意思のもとによる申請かどうかを確認します。その申請責任者に、申請の意思、購入する証明書、技術担当者の名前など、申請内容に誤りがないか確認します。
確認作業をスムーズに進めるために
日本ベリサインの担当者から、代表番号に電話をかける――この際、総務部などはセールスと勘違いして該当部署の担当者に取り次がないケースもあるそうです。また、上司を申請責任者として手続きしたものの、そのことを上司に伝えずにいたため、電話確認で話が進まないというケースも。証明書の取得をスムーズに進めるためにも、申請手続きを終えたら、社内のしかるべき部署や申請責任者には「確認電話がかかってくる」ことを伝えておくとよいでしょう。
この確認の後、技術担当者にも電話をかけ、CSR生成時に登録した情報やメールアドレス、秘密鍵のバックアップ状況を確認します。この確認をもって一連の認証は終了します。
なお、小規模の会社で電話番号をタウンページなどにも掲載していない場合は、(a)の代わりに電話番号の証明書類(電話料金の請求書など)の提出が必要になります。また社内規定により(b)のプロセスで電話による在籍・役職の照会ができないという場合は、在籍の事実を書面(在籍証明書)で日本ベリサインに提出することになります。
【4.導入編】証明書をインストールすれば導入完了
こうしてベリサインで所定の確認作業が完了して申請が認証されると、SSLサーバ証明書が発行されます。証明書(サーバID)の実体はテキストデータで、技術担当者宛てにメールで送付されます。
サーバへのインストールは簡単です。まず証明書を示す文字列をコピーしてテキストファイルとして保存し、ファイルを所定のディレクトリに保存するか、サーバソフトのインストール機能を使って取り込みます。また、併せて「中間CA証明書」もサーバにインストールする必要があります(具体的な手順はこちら)。
証明書をインストールしたら、SSLで暗号化通信したいディレクトリにページ(HTMLファイル)を置きましょう。このページに「https://」で始まるURLでアクセスすれば、晴れてサーバと利用者のWebブラウザの間でSSLによる通信ができるようになります。加えて第2回で紹介した、ベリサインセキュアドシールをWebサイト上に掲載することで、サイト訪問者に対してより明示的に安全性をアピールすることができるでしょう。
サーバ証明書が新たなビジネスチャンスに
一通りサーバ証明書の導入の流れを見てきましたが、導入経験のないショップオーナーにとっては、細かい手続きやサーバ操作などで、わからないことが次々と出てくるかもしれません。そのときはあきらめずに認証局のサポート窓口に問い合わせてみましょう。日本ベリサインでは電話とメールで質問を受け付けており、よくある質問(FAQ)はWebサイトでも参照できます。SSLサーバ証明書の導入には手間と費用がかかりますが、代わりに得られる「安全」という価値は、ショッピングサイトに新しいビジネスチャンスを生み出してくれることでしょう。
テスト用サーバIDのススメ
CSRの生成や最終的なインストールにはWebサーバの操作が必要となります。そのため、初めてSSLサーバ証明書を導入する人の中には、Webサーバの操作が不安という方もいることでしょう。そこで日本ベリサインでは、テスト用のサーバ証明書を無料で取得できるサービスを提供しています。CSRの提出と証明書のインストールを試せるので、ぜひ利用してみましょう。
テスト用セキュア・サーバIDを試用して、事前に申請やインストールなどの作業の流れをつかんでおくとよいでしょう
(イラスト:ショーン=ショーノ)
NTTドコモ、学園祭でのd払い活用を支援する「キャッシュレス学園祭パッケージ」提供開始
