SECOMのSSLはかなりイタダケナイ
PHPとは関係ないお話。
先日ウェブサーバにSSL証明書をインストールしたのだが、えらく時間がかかってしまったのでメモ。
今までは、基本的に自社でSSLを使用する際はThawte社を使っていた。いちおうベリサインの子会社だし、証明書の発行数はベリサインについで2位だし、何より安いし、販売代理店にもなったし・・・。難点なのは「南アフリカ」の会社、というところなのだが、現地に日本人スタッフがいてメールは日本語でのやり取りもできるので問題はない(Thawteの証明書がほしい人は連絡くれれば手伝う・・・かもしれない)。
今回とある仕事で、携帯からの使用を想定し、携帯でもOKなSSL証明書を使うことになった。日本で携帯SSLといえばベリサインかセコムか、といったところ(ボルチモアも大丈夫だったっけか)。んで、セコムを使うことになった。実はこれがそもそもの間違いで、証明書の費用はクライアントが負担するのだから、「ベリサインにしておけばよかった」と後悔している。
今回使用したのは「セコムパスポート for Web」。で、導入手順はこんな感じ。
(1) キー作成、CSR作成(これはどこでも同じ)
(2) 申請(セコムは証明書発行後の請求書払い、とこの点は評価できる)
(3) 電話連絡後、証明書発行
(4) インストール
このインストールでつまずいた。というのもセコムの証明書をインストールするときは「中間CA証明書」をインストールしないといけないのだ(ベリサインやThawteでは不要だった)。そして、そのインストール作業にもしっかりとお約束事があった。
で、作業はこんな感じだった(失敗も含めて書いてみる)。
(1) 証明書をダウンロードして、証明書をインストール(apache設定)
(2) apache再起動
(3) 「この証明書は信頼できる機関から発行されていません」(ふざけるな!)
(4) 原因を調べると中間CA証明書のインストールが必要(トップページに書いておいてくれ!)
(5) 中間CA証明書を取得してインストール(apache設定)
(6) 「この証明書は信頼・・・」(なめてんのか)
(7) apacheのコメントアウト欄にない設定項目が必要だった(設定するところを間違えていた)
(8) 再設定してapache再起動(SSLCACertificatePath)
(9) 「この証明書は信頼・・・」(し・・・しばく・・・)
(10) 設定したディレクトリにおくファイル名が決まっていた(赤太字でかけ!)
(11) 中間CA証明書のファイル名をfe686ec0.0に変更して再設定
(12) apache再起動
(13) やっと動いたよ(数万円が無駄にならずに済んだ・・・)
所詮「セコム」。そういえばベリサインの電話確認と比べればいい加減だった。ベリサインなら、作成する証明書のホスト名を、必ずアルファベットを順番に読んで確認したけど、セコムの場合は「○○.jp」ですね、だったし(微妙にスペルが違ってたらどうするつもりなんだろ)。
お約束事は赤太文字で書いてよ。
ま、動いてよかったよ。
2008/04/20 at 3:36 AM
確かに、セコムさんはちょっとサイトがわかりにくかった思い出があります。
今は(か、場合によっては)、ベリサインさんも中間CA必要になるみたいです。
2008/04/20 at 12:53 PM
マニュアルさえしっかりしてれば、多少の手間は惜しまないんですけどね。