はじめに
本章の目的
この章は本記事の入口です。SSL通信とCSR(証明書署名要求)を学ぶ理由と、記事の読み方をやさしく説明します。専門知識がなくても理解できるように進めます。
なぜSSLとCSRを学ぶのか
Webサイトで個人情報や会員ログイン情報をやり取りする場面は多くあります。たとえばネットショッピングで住所やカード情報を送るとき、情報が第三者に読まれないようにするためにSSLが役立ちます。CSRはそのSSL証明書を取得するための「申込書」にあたります。
この記事で得られること
- SSLの基本的な役割が分かります
- CSRの意味と作り方が分かります(後半で実例を紹介します)
- 証明書取得の流れと注意点が分かります
対象読者と前提
初心者から担当者まで幅広く想定します。サーバ操作の経験がなくても理解できるように、用語は最小限にし具体例を交えて説明します。安心して読み進めてください。
SSLとは何か?通信を守る仕組み
概要
SSL(Secure Sockets Layer)は、ウェブサイトと利用者の間で交わされる情報を第三者に読まれたり改ざんされたりしないよう保護する仕組みです。HTTPに暗号化を加えたものがHTTPSで、アドレスバーの鍵アイコンで分かります。
なぜ必要か(具体例)
例えばカフェの無料Wi‑Fiでログイン情報を送る場合、暗号化がないと第三者が盗み見できます。暗号化は情報を“暗号の箱”に入れるような働きをし、外から中身が分からなくします。
仕組み(やさしい説明)
SSLは二つの仕組みを組み合わせます。まず公開鍵と秘密鍵という対を使い、安全に共通の暗号キー(セッションキー)を交換します。その後、そのセッションキーで通信を高速に暗号化します。鍵のやり取りは手紙を鍵付きの箱に入れて渡すようなイメージです。
証明書と認証局(CA)の役割
SSL証明書はサーバーの公開鍵とサイトの身元情報を含みます。認証局(CA)はその情報が正しいことを“証明”する機関です。ブラウザは証明書の署名や有効期限、ドメイン名を確認して安全か判断します。
証明書の種類と使い分け(具体例)
- DV(ドメイン認証): 個人ブログやテストサイト向け。ドメインの所有だけ確認します。
- OV(組織認証): 企業サイト向け。組織の実在を確認します。
- EV(拡張認証): 銀行など高い信頼が必要なサイト向け。詳しい審査を行います。
ブラウザ表示と日常の注意点
ブラウザの鍵アイコンやHTTPSの表示を確認してください。証明書の有効期限切れやドメイン不一致があると警告が出ます。特にオンライン決済や個人情報を扱う場面では必ず確認しましょう。
SSLの主な構成要素
ハンドシェイクプロトコル
クライアントとサーバーが最初に行うやりとりです。使う暗号方式(例:AESやRSA)や鍵の生成方法を決め、サーバー証明書を送って相手の正当性を確認します。例えると、握手してお互いの身分証を見せ合う場面です。これで安全に話すための共通のルールと鍵が決まります。
レコードプロトコル
実際の通信データを扱います。データを小さな塊に分け、必要に応じて圧縮し、暗号化して送ります。同時に改ざん防止のためのMAC(メッセージ認証コード)を付けます。要するに、郵便物を封筒に入れて封印するイメージです。
Change Cipher Specプロトコル
暗号化した通信に切り替える合図を送ります。ハンドシェイクで決めた鍵と方式を使って、ここから先は暗号化通信が始まると通知します。短いが重要な役目です。
アラートプロトコル
通信中に問題が起きたときに警告やエラーを伝えます。証明書が無効、鍵交換に失敗、接続切断などの理由を相手に知らせ、安全に通信を終える手助けをします。
SSL証明書取得に必要なCSRとは
簡単な説明
CSR(Certificate Signing Request、証明書署名要求)は、SSL証明書を発行してもらうために認証局(CA)へ送る申請書のようなものです。サーバーの公開鍵と組織情報をまとめたファイルで、これを元にCAが証明書を作ります。
CSRに含まれる主な情報
- ドメイン名(例: example.com)
- 組織名(会社名や団体名)
- 部署名や所在地(任意の場合あり)
- 管理者のメールアドレス
- サーバーの公開鍵(秘密鍵と対になる鍵)
公開鍵と秘密鍵の関係
CSRには公開鍵だけが入ります。秘密鍵はサーバー側で安全に保管します。公開鍵をCAが証明書に結びつけることで、第三者がその公開鍵の正当性を確認できます。
作成時の注意点
- ドメイン名は正確に入力してください。誤りがあると発行できません。
- 組織名やメールは審査に影響する場合があります。
- 秘密鍵は絶対に公開しないでください。漏えると証明書の信頼性が失われます。
- 鍵長(例: 2048ビット以上)を適切に設定してください。
CAへの提出と発行の流れ(簡単に)
- サーバーで秘密鍵とCSRを作成
- CSRをCAに提出
- CAが情報を確認し、審査を通過すれば証明書を発行
- 発行された証明書をサーバーにインストール
よくある誤解
- CSR自体は証明書ではありません。CAに提出して初めて証明書が発行されます。
- CSRに秘密鍵は含まれません。秘密鍵は常にサーバー側で保管します。
この章では、CSRが何を含み、なぜ必要かを分かりやすく説明しました。次章では具体的なCSRの作り方を見ていきます。
OpenSSLによるCSRの生成方法
概要
SSL証明書取得の第一歩はCSR(証明書署名要求)の作成です。ここではOpenSSLでの実際の手順と注意点をやさしく説明します。
基本コマンド
以下のコマンドでCSRと秘密鍵を同時に作ります。
openssl req -new -newkey rsa:2048 -nodes -keyout privatekey.key -out request.csr
このまま実行すると対話形式の入力が始まり、組織名やドメイン名などを尋ねられます。必要事項を入力すると指定したファイル名でCSRが生成されます。
オプションの意味(簡単に)
- req:CSR作成コマンドを指定します。
- -new:新しいリクエストを作ります。
- -newkey rsa:2048:2048ビットのRSA鍵を同時に作成します。
- -nodes:秘密鍵をパスフレーズ無しで出力します(省略するとパスフレーズ付きになります)。
- -keyout:秘密鍵の保存先ファイル名です。
- -out:生成するCSRファイル名です。
入力プロンプトのポイント
- Common Name(CN)は証明書を当てるドメイン名を入力します(例:www.example.com)。
- 組織名や都道府県は省略可能ですが、正確に入力すると審査がスムーズです。
SANを含めたい場合(よくある要望)
複数ドメインやwwwと非wwwを含めたいときは、設定ファイルを使ってSANを指定します。簡単な方法はカスタムopenssl.cnfを用意し、-configと-reqextsオプションで指定します。
秘密鍵の扱い
秘密鍵は厳重に保管してください。権限を適切に設定(例:chmod 600)し、バックアップは安全な場所に保管します。
CSRの確認
生成後、内容を確認するには次のコマンドを使います。
openssl req -in request.csr -noout -text
内容にドメイン名や組織名が正しく入っているか確認してください。
よくあるトラブル
- ドメイン名を間違えた:再度CSRを作り直します。
- SANが含まれていない:設定ファイルから再生成します。
これでOpenSSLを使ったCSR作成の基本は押さえられます。丁寧に入力と保管を行ってください。
CSR提出からSSL証明書取得までの流れ
1. CSR生成
OpenSSLなどで秘密鍵とCSR(証明書署名要求)を作成します。CSRは組織名やドメイン名を含むテキストです。秘密鍵は必ず安全に保管してください。例:サーバー上でopensslコマンドを実行して作ります。
2. CSRを認証局(CA)へ提出
取得したいCAの管理画面でCSRをアップロードします。申請時に証明書の種別(ドメイン認証、組織認証など)を選びます。料金や必要書類はCAによって異なります。
3. 認証局による審査・発行
CAは申請情報の確認を行います。ドメイン所有確認はメール、HTTPファイル配置、DNSのTXTレコード追加などで行うのが一般的です。確認が済むとCAが証明書を発行します。
4. 証明書の受領とサーバーへのインストール
CAから受け取った証明書(PEMやCRT形式)をサーバーに配置し、ウェブサーバー設定で秘密鍵と紐付けます。中間証明書を合わせて設定する必要があります。設定後、ブラウザでhttps接続を確認してください。
注意点
- 秘密鍵は第三者に渡さないでください。漏洩すると証明書の信頼が失われます。
- 証明書には有効期限があります。期限切れ前に更新手続きを行ってください。
- CAの指示に従い、中間証明書やチェーンファイルを正しく設定してください。
SSL認証・通信の安全性指標
はじめに
ブラウザの南京錠アイコンやURLの「https://」は、通信が暗号化されサーバーの証明書が有効であることを示します。ただし見た目だけで安心せず、簡単な確認をする習慣が大切です。
ブラウザ表示で分かること
- 南京錠:通信が暗号化されています。
- https://:安全なプロトコルでやり取りしています。
- 警告表示(赤や黄色の三角など):証明書に問題があります。
証明書の確認方法(手順)
- 南京錠をクリックします。
- 「証明書」や「接続は保護されています」などを選びます。
- 発行者(例:Let’s Encrypt、DigiCert)・有効期限・対象ドメインを確認します。
例:発行者が信頼できる認証局で、有効期限内、ドメイン名が一致していれば基本的に問題ありません。
認証の種類(簡単に)
- ドメイン認証(DV):ドメイン所有を確認するだけ。無料のものが多いです。
- 組織認証(OV):会社の実在性も確認します。信頼性が高まります。
- 拡張認証(EV):厳格な審査で企業名が表示される場合があります。
よくある警告と対処
- 期限切れ:証明書を更新します。
- ドメイン不一致:正しい証明書を導入します。
- 自己署名:信頼された認証局で再発行します。
- 混在コンテンツ(httpの画像など):全てhttpsで配信するよう修正します。
実務での指標と習慣
- 証明書の有効期限を監視して自動更新を設定します。
- 中間証明書を含めて正しくインストールすることを確認します。
- 古い暗号や古いプロトコルを無効にして、最新の安全設定を適用します。
これらの確認を定期的に行えば、利用者にとって安全な通信環境を保てます。
まとめ:CSRとSSLの理解が安全なWeb運用の第一歩
ポイントの振り返り
CSR(証明書署名要求)は、SSL証明書を取得するための必須ステップです。CSRには組織名やドメインなどの情報が含まれ、サーバー側で作成した鍵ペア(公開鍵と秘密鍵)と紐づきます。正しく作成することで、発行された証明書が実際のサーバーで使えるようになります。
実務で押さえるべきこと
- 秘密鍵は必ず安全に保管する:第三者に漏れると証明書の信頼性が失われます。
- キー長は十分に大きく(例:2048ビット以上)する:暗号の強度を保てます。
- CSRの項目(Common NameやSAN)は正確に記入する:ワイルドカードや複数ドメインを使う場合はSANを利用します。
- 申請後の検証方法を理解する:メール認証やHTTP/HTTPSによる確認など、CAの要求に従います。
運用チェックリスト(簡易)
- 秘密鍵を生成・保管したか
- CSRの情報に間違いはないか
- CAへ正しく提出したか
- 証明書を受け取りサーバーへ設置・テストしたか
- 有効期限の管理と更新手順を決めたか
最後に
CSRとSSLの基本を理解すると、安全で信頼できるWeb運用が実現しやすくなります。手順を標準化し、定期的な確認を行うことでトラブルを減らせます。まずは小さなサイトからでも、正しいCSR作成と秘密鍵管理を習慣にしてください。
