「サーバをセキュリティ保護する」とは

「サーバをセキュリティ保護する」とは、信頼できる SSL 証明書を取得し、それを使ってサーバからサービスクライアントへのデータ転送を暗号化するという意味です。

SSL は、インターネット上のサーバと暗号鍵を使用するクライアントコンピュータとの間に安全な暗号化接続を作成するための一般的な方法です。

これは高度なチュートリアルです。

Server で証明書を選択したところ

はじめに

このチュートリアルを実行するには、以下のものが必要です:

  • 証明書を作成するための完全修飾ドメイン名

    ドメイン名について詳しくは、「Web サイトをホストする」のチュートリアルを参照してください。

    このチュートリアルでは、プレースホルダの完全修飾ドメイン名として myserver.example.com を使用します。

    警告: このチュートリアルでこれらのプレースホルダ設定を入力しても、うまく動きません。「example.com」という名前は、この種の書類で使用するために予約されており、実際のソフトウェア構成では動作しません。独自の設定を使用してください。

  • 証明書に署名する認証局(CA)

    CA は、サービスを利用する個人または組織の識別情報の真正性を保証します。CA が証明書にデジタル署名するとき、CA は自分の信用をその証明書に貸し付けていることになります。ソフトウェアは、その CA を信頼していれば、CA が署名した証明書も信頼します。お使いの Mac コンピュータおよび iOS デバイスには、大手 CA の信頼できるルート証明書があらかじめインストールされています。

    現時点で信頼できる商用 CA は次の通りです:VeriSign 社、Thawte 社、Geotrust 社、Comodo 社、GoDaddy 社。

先に進む前に、いくつかの用語を理解する必要があります:

  • は、大きい数値から生成された固有のデータです。公開鍵基盤では、鍵は、公開鍵と秘密鍵のペアとなっており、この 2 つは互いに関連しています。

    鍵は、デジタル識別情報およびデジタル信頼チェーンの基盤をなします。

  • 証明書は、公開鍵および鍵の作成者の識別情報(名前、組織、メールアドレスなど)を含む電子書類です。

  • お使いのデバイスとサーバ間の接続にスクランブルをかける、つまり暗号化するには、証明書を取得する必要があります。証明書は、サービスデータの送信元に関する声明をクライアントに提供して、データ交換のための安全な暗号化方法をクライアントがネゴシエートできるようにします。

証明書の署名と信頼についても知る必要があります:

  • 証明書がデジタル署名されるとき、それは署名者によって保証されることになります。署名者が認証局(CA)であるなら、CA が自分の信用をその証明書に貸し付けているということです。ソフトウェアは、その CA を信頼していれば、CA が署名した証明書も信頼します。お使いの Mac コンピュータおよび iOS デバイスには、大手 CA の信頼できるルート証明書があらかじめインストールされています。

  • 自分のサーバで自分の証明書に署名する(自己署名と呼ばれる)こともできますが、自己署名証明書を提示されても、クライアントソフトウェアにその証明書を信頼する基盤がない可能性があり、その場合は、証明書を検証できないという通知がユーザに表示されます。

  • ユーザが証明書を信頼できるとして受け入れると、クライアントソフトウェアはそれを使用して、署名された公開鍵を提供しているリモートサーバに対する安全な暗号化接続を確立できます。

レッスン 1:署名入り SSL 証明書を追加するに移動