CACert.orgでチェーン証明書を作って第三者認証(のようなもの)を行うTips

雑記

 今日のアウトプットが何もないというのも悔しいので、分かったことなんかを書く。
 
 本日やりたかったことはVirtualHostをSSLサイトとして公開すること。
 また、オレオレ証明書ではなくきちんと第三者認証局を用いて認証局による署名を行った証明書を用いて、サーバを立てたかった。
 

  • CACert.org

 http://www.cacert.org/index.php?lang=ja_JP
 第三者認証局には一般的に日本ベリサインやグローバルサインなどがあるが、これらの認証局を用いると、年間8万円程度の費用を取られてしまう。法人組織にならいざ知らず、個人にこの負担は無理なので、多くのSSLサーバ構築の解説サイトはオレオレ証明書を用いた構築方法を紹介している。
 上記CACert.orgを用いると、無料で第三者認証局が署名した証明書を得ることができる。
 
 問題は、CACert.orgのルート証明書はデフォルトではブラウザに含まれていないので、サイトからダウンロードして、信頼する認証局として証明書をインポートしなければならない。ちなみに一般的な認証局認証局ルート証明書が初めからブラウザに組み込まれているため、ユーザは認証局から署名された証明書を持つサイトには安全なサイトとしてアクセスすることが可能である。
 しかし、これは、今後CACert.orgから署名された証明書を全て信頼するということであり、リスクも伴う。

 CACert.orgはユーザの存在の確認を、他のユーザに行ってもらうというユニークな方法で行っているが、信頼性は他の証明局に比べてはるかに低い。
 
 それでも、CACert.orgを使ってみたいという人は以下の手順で登録できます。
 
 CACertへの登録手順は以下のとおり。

  1. CACertのIDを取得する。(正しいメールアドレス、複雑なパスワード、質問と答えなどの入力が必要)
  2. CACertからメールが送られてくるので、本文中のリンクをクリックしてアクティベートする。(メールが送られてくるまでに若干のタイムラグがある。)
  3. 自分のドメインを登録する。登録したドメインのメールアドレスが必要。(ID登録時に使用したメールアドレスにも送付可能。)
  4. 登録したドメインに対してアクティベート要求のメールが送られるので、クリックしてアクティベートする。
  5. ドメインの証明書要求(CSR)を送付して、署名済み公開鍵を得る。

 
 ここまでがCACertへの登録手順である。
 IDの登録が若干面倒なのと、メールが来るまでが長いのを除けば、まずまず満足できる。
 
 次回ネタはVirtualHostサーバでSSL通信を行わせる方法について書きます。