Scutumに設定するSSL証明書について
こんにちは、Scutumサポートデスクです。
以前の記事で、「SSL/TLSを利用するサイトではScutumの環境自体もSSL/TLSの利用を設定する必要がある」とお伝えしましたが、Scutum経由で暗号化通信をするためにはScutumにもSSL証明書(以後、証明書と書きます。)を設定しておく必要があります。
今回は、Scutumに証明書の設定が必要な理由や、設定できる証明書の種類・設定方法について紹介します。
証明書の設定が必要な理由と暗号化通信の流れ
証明書の設定はなぜ必要?
暗号化された通信は、データが第三者に悪用されないように決まった規則に従い暗号化されていてそのままでは内容がわかりません。そのため、Scutum経由で暗号化通信をするためには、暗号化前の状態に戻す「復号」が必要です。
この復号に証明書を利用するため、Scutumにも証明書を設定する必要があるのです。
暗号化通信の流れ
サイト利用者とScutum間の通信はScutumに設定した証明書で復号し、Scutumとお客様ウェブサーバの間の通信は、ウェブサーバに設定されている証明書で再暗号化するというように、それぞれ別個の通信として処理を行います。
Scutumに設定できる証明書とできない証明書
設定できる証明書
SSL証明書はさまざまな認証機関から発行されていますが、Scutumではどの認証機関の証明書でも、制限なく設定できます。
また、証明書は暗号化以外に、Web サイトの運営者が存在していること(実在性)の証明などにも用いられます。DV証明書(ドメイン証明)、OV証明書(企業認証)、EV証明書(OVより厳密な企業認証)の3種類がありますが、Scutumでは3種類すべて設定可能です。また複数のサブドメインで使えるワイルドカード証明書等にも対応しています。
設定できない証明書
Scutumはアクセス者が正規の利用者であることを証明する「クライアント認証」に対応していないため、クライアント認証に利用される「クライアント証明書」は設定することができません。
また、楕円曲線暗号という方式を利用した「楕円曲線DSA(ECDSA)方式の証明書」にも対応しておらず、ACM(AWS Certificate Manager)※等の「同サービス内での設定のみ可能な証明書」についても、設定に必要な情報を取り出すことができないため設定することができません。
- AWS(Amazon Web Service)の証明書管理機能
証明書の設定に必要な情報と設定方法
証明書の設定に必要な情報
証明書の設定には[サーバ証明書]・[秘密鍵]・[中間CA証明書] の3点の情報を、PEM形式というテキストファイルで用意する必要があります。PEM形式以外の証明書はOpenSSL※等を利用して変換してください。
- SSL/TLSの機能を実装したオープンソースのソフトウェア。証明書の作成や形式の変換などに利用される
証明書の設定方法
証明書の設定や更新の具体的な操作方法などは「SSL証明書の更新」をご確認ください。
サーバ証明書 ⇒ 秘密鍵 ⇒ 中間CA証明書 の順で貼り付けていきますが、中間CA証明書は省略して登録することができます。省略する場合は空白のまま「次へ」を押して設定してください。
設定した証明書は「証明書の一覧」から確認することができます。
Scutumとウェブサーバどちらの証明書から更新すればいいの?
どちらから先に実施しても通信に問題が出ることはないのでご安心ください。冒頭の図のような一般的な経路では、サイト利用者にはScutumに設定中の証明書が表示されるため、最新の証明書を表示させる場合や証明書の有効期限が差し迫っているなどの場合には、Scutumからの更新をおすすめします。
ご不明な点等がありましたら、お気軽にScutumサポートデスクまでお問い合わせください。
