今までCSR生成が不要なGMOグローバルサインのクイック認証SSLを今まで利用してきましたが、スキップ申請サービス終了に伴い今後は同社で発行するSSL証明書は、全てCSRの生成が必要となりました。
これは、Firefoxを提供しているベンダーがCSRを認証局側が生成する行為を推奨しないとし今後は無効化される可能性があるたため、GMOグローバルサインはスキップ申請サービスを終了しました。
高機能なNASとして定評のあるQNAPにもSSL証明書をインストールしてセキュアにWebサイトを公開することができますが、QNAPのGUI操作では信頼性の高いSSL証明書を発行するためのCSRを生成することができません。
QNAPのサイトにもOen SSLを使用した証明書を利用する方法が紹介されていますが、手順がとても複雑でミスをすると管理画面へのアクセスが不能となるので、慣れない人が仕事で使うサーバに使用するのはリスクがあります。
QNAPで使えるSSL証明書の種類
QNAPのNASには、警告が表示されるものの無料で使える自己署名証明書を作成したり、XSERVERなどのレンタルサーバでも使用しているLet’s EncryptのSSLを利用したり、グローバルサインなどの認証局が発行した信頼性の高い証明書をインストールできます。
自己署名証明書はブラウザやFTPソフトでアクセスした時に警告が表示されるので不特定多数の利用者向けに使用するのではなく、ローカルネットワーク内に設置したサーバや個人利用の範囲で使われることが多くあります。
アクセスする度に警告の出る自己署名証明書を使用するよりも、同じく無料で使えるLet’s EncryptのSSL証明書を利用するのがおすすめですが、ポート80を解放する必要があるのでファイアウォールの設定を変更する必要があります。
ファイアーウォールでブロックされてエラーになる場合、特定のグローバルIPアドレスだけポート80へアクセスできるように許可すれば良いのですが、Let’s EncyptのサーバはIPアドレスが変動する可能性があるとのことで公表していません。
nslookupをすればLet’s EncyptのグローバルIPアドレスを確認できるのでポートさえ開ければ設定は簡単にできますが、グローバルIPアドレスが変更された場合はSSLの自動更新ができなくなります。
ビジネスシーンで利用するセキュアなサーバを運用するなら、有料で定期的な更新作業が必要になりますが、GMOグローバルサインなどの認証局が発行するSSL証明書を利用した方が無難です。
IISで生成したCSRをQNAPに使う
ここからが本題となりますが、グローバルサインのクイック認証SSLは、IISのCSR作成機能を使用して発行したSSL証明書でも、QNAPのNASにインストールして利用することができます。
今回CSRの生成に使用したのはWindows Server 2016で、IISマネージャーの左ペイン左にあるリストからサーバを選択し、中央ホーム画面にあるサーバー証明書をダブルクリックします。
サーバー証明書画面の右ペインにある証明書の要求の作成をクリックすると識別名プロパティが表示されるので、一般名や組織などの必要情報を入力してウィザードを進めます。
次の画面の暗号化サービスプロバイダーのプロパティは、Microsoft RSA SChannel Cryptographic Providerを選択し、必要な暗号化のビット長をリストから選択してください。
最後に、証明書の要求ファイルの保存先を指定し生成されたファイルの中身をメモ帳などのテキストエディタで開き、GMOグローバルサインの証明書発行画面に貼りつけてください。
ここからの具体的な説明は、GMOグローバルサインのサイトで説明されているので省略させていただきますが、注意する点はスキップ申請サービスが終了した今はサイトからPKSC#12からダウンロードすることができません。
その為、グローバルサインからメールで通知される証明書+中間証明書(PKCS7形式)SHA256をIISにインポートした後に、証明書と秘密鍵をセットでエクスポートする必要があります。
証明書+中間証明書をIISにインポートする方法や、証明書と秘密鍵をセットでエクスポートする方法は、Googleで検索するかGMOグローバルサインのサイトで紹介されています。
証明書+中間証明書をIISにインポートした後に、証明書と秘密鍵をセットでエクスポートするとPKSC#12のファイルが生成されるので、後は今まで通りOpenSSLのコマンドで証明書と秘密鍵をそれぞれ取り出してください。
今回の内容は以上となりますが、アクセス数をみて需要がありそうならGMOグローバルサイン管理画面の操作や、IISでPKSC#12のファイルを作成する方法なども詳しく紹介します。