信頼性が高いJPRN認証局の格安SSL証明書をNASに設定してみた

  • NAS
  • 329view
  • 0件
NAS 最強NAS Synology

セキュリティを強化するためにGoogleがサイトのSSL化を推奨するようになり、ブログやレンタルサーバには無料のSSLサーバ証明書を使えるサービスが増えていますが、企業は無料に飛びつく分けにはいきません。

無料使えるSSLで人気のLet’s Encryptの信頼性が低いという訳ではありませんし、有料でも旧SymantecのSSL/TLS証明書問題がありましたので、どのSSLサーバ証明書を選ぶのかは難しい問題です。

ただ企業で公開するサイトの場合、無料のSSLサーバ証明書を使用して何か問題が発生した場合に言い訳ができないので、自ずと有料のSSLサーバ証明書を取得してサイトやFTPサーバに利用しています。

低価格化が進むドメイン認証SSLサーバ証明書

SSLサーバ証明書にはEV認証、組織認証、ドメイン認証という、利用者や認証局の確認項目の違いにより利用できる証明書がありますが、基本的にどれも技術的な信頼性は同じです。

アクセス数の多い大企業のサイトやオンラインショッピングサイトではなく、社員や外部スタッフなどの利用者が限定されているサーバに設定するSSLは、コストの安いドメイン認証SSLサーバ証明書がおすすめです。

今までは信頼性の高いGMOグローバルサインのドメイン認証SSLを利用していましたが、さくらインターネットには年額972円で利用できる超低価格なSSLサーバ証明書がありますので乗り換えることにしました。

JPRS認証局だから安心

JPRSは、インターネットサービスプロバイダーの老舗であるIIJや、GMOインターネットなどが主要株主となる日本の企業で、ドメイン名の登録管理やDNSの運用を通してインターネット基盤を支えています。

企業なら無料よりも有料のSSLを選ぶのは当然のことですが、有料だからと全ての認証局が発行するSSLサーバ証明書が安全とは限りませんので、契約する前にどの認証局のSSLなのか確認するのは重要です。

Google ChromeがSymantec、RapidSSL、ジオトラストなどの業界最大手が発行したSSLサーバ証明書を、2018年10月移行から全面的に信頼しなくなるという問題が発生したように、有料だからと安心という訳ではありません。

さくらインターネットのドメイン認証SSLは1年間で972円という格安価格ですが、日本のインターネット基板を支えるJPRSの認証局ですし、ルート証明書はセコムトラストシステムズが運営しているので安心です。

NASにSSLサーバ証明書をインストール

インターネット上に公開するサーバにSSLサーバ証明書をインストールするのはIISが一番楽で簡単なのですが、RAID構成のコンパクトなハードウェアで低予算なサーバを構築するならNASが便利です。

QNAPのNASは設定の難易度が高い

今までQNAPのNASにGMOグローバルサインのドメイン認証SSLをインストールしてインターネット上に公開していましたが、QNAPのNASとSSLサーバ証明書は相性が悪く設定の難易度が高いという印象です。

QNAPのNASにSSLサーバ証明書をインストールする場合、CSRの生成や証明書と秘密鍵をセットで取り出すのにIISを使用したり、証明書とプライベートキーを分離させるのにOpen SSLを使用しました。

CSRの生成を必要とせずに証明書の発行ができていた時なら、年に1度の更新作業なので複雑な作業に対応できていましたが、今後は誰にでもわかるようにシンプルな仕組みに切り替えることにしました。

SynologyのNASならインストールが簡単

SynologyのNASにはウィザードが用意されているので、プライベートキーの長さを選択し、コモンネーム、Eメールアドレス、位置、都道府県、都市名、組織、部門を入力するだけで簡単にCSRの生成が可能です。

必要事項を入力しウィザードを進めてCSRの生成が成功するとプライベートキーも同時に生成されるのですが、プライベートキーがないと証明書をインストールできませんので大切に保管してください。

こちらは、さくらインターネットのSSLサーバ証明書お申し込み画面にSynologyのNASで生成したCSRを貼り付けた画像で、暗号化されたテキストの内容に間違いがないか確認することができます。

申込完了後は、認証するためのファイルをWebサイト上に公開する必要があるのですが、今回はFTPS専用サーバでWebサイトを公開していないので、サポートに連絡しメール認証にしてもらいました。

メール認証が完了するとメールで通知が届きますので、さくらの会員サイトへログインしメールの説明手順に従いSSL発行の手続きを行えば新規もしくは更新が可能となります。

生成した秘密キー、証明書、中間証明書のファイルを参照しOKボタンをクリックするだけで、誰でも簡単にJPRS認証局のSSLサーバ証明書をSynologyのNASにインポートすることができます。

新規に取得したSSLサーバ証明書のインストールが正常に行われた後にリストに表示される発行元に、JPRS Domain Validation Authorityが表示されているのを確認できれば成功です。

SynologyのNASにはデフォルトで自署証明書がインストールされているので、コントロールパネルのセキュリティにある証明書の構成を変更して、新しく取得したSSLサーバ証明書を選択してください。

今回の説明でJPRS認証局SSLサーバ証明書をインストールしたSynologyのNASは、他のメーカーが真似のできない高機能なファイアウォールが搭載されているDS918+となります。

安心で格安なサーバ証明書

今までは安全性を優先するという意味で1年間に数万円もするサーバ証明書を利用していましたが、これからはJPRS認証局で安心の格安SSL証明書であるさくらインターネットのドメイン認証SSLを利用することにしました。

さくらインターネットで取得ができるドメイン認証SSLサーバ証明書は、JPRS認証局でありながら1年間で972円と格安なので、ある意味失敗してもダメージが大きくないので気軽にサイトをSSL化することができます。

無料のSSLを使うのは決して悪いことではありませんが、企業サイトで利用するSSLサーバ証明書は、信頼性の高いJPRS認証局のさくらインターネットがおすすめです。