オプション0: Let's Encryptから証明書を取得する

Question 1

Web サーバーまたはメールサーバーで証明書を使用するには、少なくとも 3 つのオプションがあります。

オプション0: Let's Encryptから証明書を取得する

暗号化しましょうブラウザが信頼する無料の SSL 証明書を取得する方法の 1 つかもしれません。これは、この質問が出された後の新しいオプションです。

Let's Encrypt の動作は他の CA とは少し異なります。サーバーに小さなエージェントをインストールすると、数か月ごとに証明書が自動的に更新されます。

このオプションがまだ機能するかどうかはわかりません。IP なしのドメインがサービスで機能するようにするための変更について議論している GitHub の問題がいくつかあるためです。

今日は機能しなくても、すぐに準備が整うと思われるので、注目してください。

オプション 1: 証明機関 (CA) によって署名された SSL 証明書を取得する

CA によって署名された証明書を使用する利点は、訪問者が自動的に証明書を信頼することです。オペレーティングシステムと Web ブラウザーには、信頼できるルート証明書のリストが付属しており、これらの信頼できる証明書によって署名された証明書のみがデフォルトで信頼できるものと見なされます。

欠点は、主要なオペレーティングシステムやブラウザーに含まれている CA のほとんどが、サービスに対して料金を請求することです。

CA はサブドメインの証明書を提供していますが、通常、そのサブドメインの制御権があることを証明するための簡単な検証プロセスがあります。no-ip.org やその他のダイナミック DNS プロバイダーのサブドメインの証明書の発行については、CA によってポリシーが異なる場合があります。

調査する可能性のある CA のリストは次のとおりです。

オプション2: 信頼のWebプロバイダーからSSL証明書を取得する

私が知っている唯一の信頼のウェブプロバイダーは翻訳会社これは、無料の SSL 証明書を提供する証明機関です。ただし、十分な数の他の CAcert.org ユーザーがあなたの ID を確認するまで、証明書はあなたのドメインについて何も確認しません。十分な「保証ポイント」を獲得すると、証明書に名前を追加して有効期限を長くすることができます。

しかし、私は信じないCAcert.org のルート証明書ほとんどのブラウザにはデフォルトで含まれています。訪問者はこのルート証明書をインストールする必要があります。そうしないと、恐ろしい証明書の警告が表示されます。

オプション3: 自己署名証明書を生成する

どうしても証明書を購入できない場合は、自己署名証明書を作成できます。この方法では CA は必要ありませんが、他のコンピュータは自動的に証明書を信頼しません。自己署名証明書で保護された Web サイトにアクセスするゲストには、「証明書に関する恐ろしい警告」が表示されます。

システムに応じて、これを行う方法は異なります。OpenSSLを使用している場合は、Akadia.com による説明:

# Generate a private key
openssl genrsa -des3 -out server.key 1024

# Generate a certificate signing request (CSR)
openssl req -new -key server.key -out server.csr

# Generate the self-signed certificate
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

server.cst次に、選択した Web サーバーにインストールします。

Answer

Web サーバーまたはメールサーバーで証明書を使用するには、少なくとも 3 つのオプションがあります。

オプション0: Let's Encryptから証明書を取得する

暗号化しましょうブラウザが信頼する無料の SSL 証明書を取得する方法の 1 つかもしれません。これは、この質問が出された後の新しいオプションです。

Let's Encrypt の動作は他の CA とは少し異なります。サーバーに小さなエージェントをインストールすると、数か月ごとに証明書が自動的に更新されます。

このオプションがまだ機能するかどうかはわかりません。IP なしのドメインがサービスで機能するようにするための変更について議論している GitHub の問題がいくつかあるためです。

今日は機能しなくても、すぐに準備が整うと思われるので、注目してください。

オプション 1: 証明機関 (CA) によって署名された SSL 証明書を取得する

CA によって署名された証明書を使用する利点は、訪問者が自動的に証明書を信頼することです。オペレーティングシステムと Web ブラウザーには、信頼できるルート証明書のリストが付属しており、これらの信頼できる証明書によって署名された証明書のみがデフォルトで信頼できるものと見なされます。

欠点は、主要なオペレーティングシステムやブラウザーに含まれている CA のほとんどが、サービスに対して料金を請求することです。

CA はサブドメインの証明書を提供していますが、通常、そのサブドメインの制御権があることを証明するための簡単な検証プロセスがあります。no-ip.org やその他のダイナミック DNS プロバイダーのサブドメインの証明書の発行については、CA によってポリシーが異なる場合があります。

調査する可能性のある CA のリストは次のとおりです。

オプション2: 信頼のWebプロバイダーからSSL証明書を取得する

私が知っている唯一の信頼のウェブプロバイダーは翻訳会社これは、無料の SSL 証明書を提供する証明機関です。ただし、十分な数の他の CAcert.org ユーザーがあなたの ID を確認するまで、証明書はあなたのドメインについて何も確認しません。十分な「保証ポイント」を獲得すると、証明書に名前を追加して有効期限を長くすることができます。

しかし、私は信じないCAcert.org のルート証明書ほとんどのブラウザにはデフォルトで含まれています。訪問者はこのルート証明書をインストールする必要があります。そうしないと、恐ろしい証明書の警告が表示されます。

オプション3: 自己署名証明書を生成する

どうしても証明書を購入できない場合は、自己署名証明書を作成できます。この方法では CA は必要ありませんが、他のコンピュータは自動的に証明書を信頼しません。自己署名証明書で保護された Web サイトにアクセスするゲストには、「証明書に関する恐ろしい警告」が表示されます。

システムに応じて、これを行う方法は異なります。OpenSSLを使用している場合は、Akadia.com による説明:

# Generate a private key
openssl genrsa -des3 -out server.key 1024

# Generate a certificate signing request (CSR)
openssl req -new -key server.key -out server.csr

# Generate the self-signed certificate
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

server.cst次に、選択した Web サーバーにインストールします。

Question 2

Comodo SSL からサブドメイン用の証明書を 90 日間無料で入手できます。これは、広く信頼されている証明機関から提供され、無料でサブドメインに有効な唯一の証明書です。私は個人的に、no-ip から提供された無料ドメインでこの証明書を使用しました。残念ながら、この証明書は 90 日間しか有効ではなく、その後は年間 100 ドル (複数年契約の場合はそれ以下) かかります。

Answer

Comodo SSL からサブドメイン用の証明書を 90 日間無料で入手できます。これは、広く信頼されている証明機関から提供され、無料でサブドメインに有効な唯一の証明書です。私は個人的に、no-ip から提供された無料ドメインでこの証明書を使用しました。残念ながら、この証明書は 90 日間しか有効ではなく、その後は年間 100 ドル (複数年契約の場合はそれ以下) かかります。

オプション0: Let's Encryptから証明書を取得する

答え1

オプション0: Let's Encryptから証明書を取得する

オプション 1: 証明機関 (CA) によって署名された SSL 証明書を取得する

オプション2: 信頼のWebプロバイダーからSSL証明書を取得する

オプション3: 自己署名証明書を生成する

答え2

関連情報