サブドメインの無料SSL証明書を取得する

Webサーバーまたはメールサーバーで証明書を使用するには、少なくとも3つのオプションがあります。

オプション0：Let'sEncryptから証明書を取得する

Let's Encrypt は、ブラウザで信頼されている無料のSSL証明書を取得する方法かもしれません。この質問がされたので、これは新しいオプションです。

Let's Encryptは、他のCAとは少し動作が異なります。サーバーに小さなエージェントをインストールすると、数か月ごとに証明書が自動的に更新されます。

No-IPドメインがサービスと連携できるようにするための変更について議論しているGitHubの問題がいくつかあるため、このオプションがまだ機能するかどうかはわかりません。

• letsencrypt/net＃12
• letsencrypt/boulder＃1479

これが今日機能しない場合でも、すぐに準備が整うようですので、注意してください。

オプション1：認証局（CA）によって署名されたSSL証明書を取得する

CAによって署名された証明書を使用する利点は、訪問者が自動的に証明書を信頼することです。オペレーティングシステムとWebブラウザーには、信頼されたルート証明書のリストが付属しており、これらの信頼された証明書によって署名された証明書のみがデフォルトで信頼されていると見なされます。

欠点は、主要なオペレーティングシステムとブラウザに含まれているほとんどのCAが、サービスに対して料金を請求することです。

CAはサブドメインの証明書を提供します。ただし、通常、そのサブドメインを制御できることを証明するための、ある種の簡単な検証プロセスがあります。 CAが異なれば、no-ip.orgおよびその他のダイナミックDNSプロバイダーのサブドメインの証明書の発行に関するポリシーも異なる場合があります。

調査する可能性のある潜在的なCAの小さなリストは次のとおりです。

• Namecheap.com
• Go Daddy
• ベリサイン
• スターフィールドテクノロジーズ

オプション2：Web-of-TrustプロバイダーからSSL証明書を取得する

私が知っている唯一の信頼できるプロバイダーは CAcert.org です。これは、無料のSSL証明書を提供する認証局です。ただし、他の十分な数のCAcert.orgユーザーがあなたの身元を確認するまで、証明書はあなたのドメインについて何も確認しません。十分な「保証ポイント」を獲得したら、証明書に名前を追加して、有効期限を長くすることができます。

ただし、ほとんどのブラウザにはデフォルトで CAcert.orgのルート証明書 が含まれているとは思いません。訪問者はこのルート証明書をインストールする必要があります。そうしないと、怖い証明書の警告が表示されます。

オプション3：自己署名証明書を生成する

本当に証明書を購入できない場合は、自己署名証明書を作成できます。これにはCAは必要ありませんが、他のコンピューターは自動的に証明書を信頼しません。自己署名証明書で保護されたWebサイトにアクセスすると、怖い証明書の警告が表示されます。

システムに応じて、これを行うにはさまざまな方法があります。 OpenSSLを使用している場合は、 Akadia.comが提供する手順 を使用できます。

# Generate a private key
openssl genrsa -des3 -out server.key 1024

# Generate a certificate signing request (CSR)
openssl req -new -key server.key -out server.csr

# Generate the self-signed certificate
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

次に、選択したWebサーバーにserver.cstをインストールします。