HTTPS を使うための電子証明書取得の前準備 (StartSSL へのユーザー登録)

無料の電子証明書を発行してくれることで有名な StartSSL で電子証明書を取得してみる。
とはいっても、無料で取得できるのは所有者の電子メールの正当性だけしか保証されないクラス 1 の証明書だけだ。
また、有効期限は 1 年間なので、使い始めたら毎年更新する手間が生じるようになる。
VeriSign のような高価な電子証明書でも必ず有効期限があるので、長くても数年ごとには更新しなくてなならないので、この程度で無料になるなら大した手間とは言えないだろう。

ところで、何のために電子証明書を取得するかというと、当たり前すぎる理由だが Web サイトを HTTPS に対応させることを考えているからだ。

StartSSL の Web サイトには日本語版は無いが、ちょっと検索すれば申請手順の紹介が山ほど見つかるだろう。
それらと重複するのは承知の上で以下にその手順を控えておく。

StartSSL の Web サイトにアクセスすると、StartSSL™ Free の説明が書かれたページが表示される。
もしかするとこれとは別のページが表示されるかもしれない。
実は StartSSL の Web サイトのホーム ページはこのページではないため、どちらのページが表示されるのが正しいのかはわからない。

StartSSL Free (Class 1)
StartSSL のホームページ

StartSSL のホーム ページが表示されているときは「StartSSL™ Free (Class 1)」をクリックすれば、StartSSL™ Free の説明が書かれたページが表示される。

StartSSL のホームページで「StartSSL Free (Class 1)」と書かれた箇所をクリックする

StartSSL™ Free の説明が書かれたページの文中、最後の方にある「Certificate Control Panel」のリンクをクリックする。

StartSSL Free (Class 1) の説明ページの「Certificate Control Pannel」と書かれた箇所をクリックする
Certificate Control pannel のログイン ページで「Sign-up」をクリックする

すると、一風変わったログイン画面が表示される。
既にユーザー登録してあるのなら、ここで「Authenticate」をクリックすればいい。
ここでは初めての取得申請になるので、「Sign-up」の方をクリックしてユーザー登録を行う。

ユーザー登録に必要な、氏名、住所を入力するフォームが表示される。

StartSSL のサイン アップ フォーム

アクセス元の IP アドレスでもチェックしているのだろうか、[Locality/Place] 欄、[Phone] 欄それぞれに「Aichi」、「+81」といった文字が既に入力されている (いわずもがなだろうが、筆者の住所は愛知県だ)。
[State] 欄をドロップ ダウンさせればわかることだが、県名は [State] 欄に入力するようにフォームが作られているので、[Locality/Place] 欄に県名が入っているのは間違いのような気がするが、それいじょうの追求はしない。

フォームの各欄は上左から順に、[ファースト ネーム (名?)]、[ラスト ネーム (姓?)]、[町名、番地]、[郵便番号]、[市区町村]、[国]、[県]、[電話番号]、[電子メール アドレス] になる。
これらの欄には、海外から郵送や電話などで連絡がとれるような表記で入力する。

サイン アップ フォームに必要事項を記入して「Continue ≫≫」ボタンをクリックする

フォームの各欄を入力したら「Continue ≫≫」ボタンをクリックする。

この後、環境によるのかもしれないが 40〜50 秒程度待たされるかもしれない。
筆者の環境ではこのために、途中でセッションが切れてしまい「プロキシサーバは上流サーバから不正な応答を受信しました。」というエラーになってしまった。
YAMAHA RTX1100 を使ってインターネットに接続しているので、このルーターに以下の設定を追加して、数分程度待たされてもセッションが切れないようにした。

さて、フォームの各欄を入力して「Continue ≫≫」ボタンをクリックすると、以下のようなダイアログが表示される。
このダイアログには、「これを継続することは、あなたの個人的 (personal, private) な情報を正直かつ正確に提供し、StartCom の CA ポリシーに沿った加入者の義務を承認したことになります。」と書かれている (思いっきり意訳なので突っ込み歓迎。)

StartSSL の利用条件を確認するダイアログで「OK」をクリックする

このダイアログの「OK」をクリックする。
ダイアログが閉じると、Web ブラウザーには「Complete Registration」の文字と「確認コード (verification code)」の入力欄が表示されているはずだ。
このとき、このページを閉じたりしてはいけない。
このページを閉じてしまうと、最初からやり直しになってしまう。

Complete Registration ページはメールが届くまで閉じないようにする

「Complete Registration」のページが表示されるのとほぼ同時に、先のフォームの [電子メール アドレス (Email)] 欄に入力したメール アドレス宛に「Your Authentication Code」という件名のメールが届いているだろう。

StartSSL から届くメールの本文の「Your authentication code is …」に続く文字列を控える

このメールの件名に日時が付記されているが、この時刻は StartSSL を運営してする StartCom 社発行があるイスラエルの時刻なので、日本よりも 6 時間ほど遅れがある。
このメールに書かれている「Your authentication code is …」に続く、一連の文字列を Web ブラウザーに表示したままにしている「Complete Registration」のページの「確認コード (verification code)」の入力欄に転記して、「Continue ≫≫」ボタンをクリックする。

Complete Registration ページに、メールで届いた verification code を入力して「Continue ≫≫」ボタンをクリックする

すると「Generate Private Key」と書かれたページが表示される。
このページでは個人電子証明書の鍵長を選択する。
この電子証明書は、本来目的としている HTTPS を実現するためのものではない。
StartSSL ではユーザー認証に一般的なユーザー ID、パスワードの組ではなく、メール アドレスを記した電子証明書を使って認証する。
ここでは、このメール アドレスの所有者である個人を特定するための電子証明書の鍵長を選択する。

Generate Private Key ページで、個人証明書の鍵長として 4096bit を選択して「Continue ≫≫」ボタンをクリックする

鍵長には 2048 bit (「2048 (Medium Grade)」、ブラウザーによっては「中強度の暗号化」) と 4096 bit (「4096 (High Grade)」、ブラウザーによっては「高強度の暗号化」) が選べる。
以前は 4096 bit の鍵長に対応できないアプリケーションがあったりもしたが、今さら弱い暗号化を選ぶ理由もないので、4096 (High Grade)」を選択して「Continue ≫≫」ボタンをクリックする。

この後、StartSSL のサイトから電子証明書がダウンロードされブラウザーにインストールされるのだが、その操作を許可するか確認するダイアログが表示されるので「はい」ボタンをクリックする。

電子証明書のダウンロード、インストールの許可を求めるダイアログで「OK」をクリックする
Install Certificate で「Install ≫≫」ボタンをクリックすると個人証明書のインストールが始まる

Install Certificate」と書かれたページが表示されるので「Install ≫≫」ボタンをクリックする。
電子証明書のダウンロードとインストールが始まり、このまましばらく待つと VBScript のダイアログが表示される。
(どうでもいいことだが、ブラウザーへのインストール処理が VBScript で書かれているみたいに見えるのは IE10 だからだろうか。)

電子証明書のインストール完了とそのバックアップを促すダイアログで「OK」をクリックする

このダイアログの文言を思いっきり意訳すると「あなたの証明書が Web ブラウザーにインストールされたので、バックアップを取って保存しておきましょう」と書いてある。

StartSSL のユーザー認証、つまりログインはこの Web ブラウザーにインストールされた証明書で行われる。
このため、ブラウザーをアンインストールしてからインストールし直すなどで、証明書を紛失してしまうと StartSSL にログインできなくなる。
筆者は英語が苦手で StartSSL のサイトを熟読していないためだが、証明書の再発行の方法はよくわからない。
この証明書は有効期間が一年間なので、一年経って証明書が失効すれば再発行できる可能性もあるが、これについても試したことはない。

つまり、証明書のバックアップはとても重要ということだ。
とりあえず証明書のバックアップの方法は今後の記事に書くことにして、このダイアログでは「OK」ボタンをクリックして先に進む。

VBScript のダイアログで「OK」ボタンをクリックすると、「Coguratulations!」と書かれたページが表示される。
これで StartSSL へのユーザー登録が完了した。

個人証明書がインストールされたので Coguratulations! ページで「Install ≫≫」ボタンをクリックして、StartSSL のコントロール パネルにログインする

「Finish ≫≫」ボタンをクリックすると、StartSSL のコントロール パネルが表示される。

StartSSL の証明書を管理するコントロール パネル

このコントロール パネルを使って、HTTPS を有効にするために使う証明書を発行したりすることになる。
一旦ブラウザーを終了させたのちに、StartSSL のコントロール パネルを使いたいときは、先ほどのメール アドレスが記された証明書がインストールされたブラウザーを使って StartSSL の Web サイトにアクセスして、「Authenticate」と「Sign-up」が書かれたページで「Authenticate」の方をクリックすればいい。

Certificate Control pannel のログイン ページで「Authenticate」をクリックしてログインする

Web ブラウザーを再起動したときなど、StartSSL からログアウトしてから改めてログインするときは StartSSL のログイン ページで「Authenticate」をクリックすると Windows セキュリティのダイアログが表示されるので、StartCom から発行された自分のメール アドレスが記された証明書を選択して [OK] ボタンをクリックすればいい。

Windows セキュリティ ダイアログで使用する電子証明書を選択して「OK」ボタンをクリックする
2013.1 月 29 日追記
http://www.startssl.jp という URL の Web サイトを見つけたが、ここで紹介した StartSSL とは何の関係もなさそうだったことを報告しておく。

コメントを残す