サブドメイン（sbatlabo.sweetsblast.net）をSSL化したよ

2020年1月6日

昨年末、Google AdSense に通すために、sbatlaboをサブドメイン化しました。
おかげ様で、無事に申請は通り、PINコードも通して広告配信が行われるようになりました。
わ〜　ぱちぱちぱち

ですが、実際に自分でサイトにアクセスしてみて、気付きました。
… “このサイトは安全じゃない"って出る…
はい、そうです。
サブドメインを作ったので、そちらのSSL証明書も別につくないなといけなかったのです。

と言うわけで、今回はサブドメインもSSLに対応させたので、その備忘録となります。

SSL証明書はドメイン毎にお金掛かるのです

サブドメインのSSL証明書を作らないといけないのですが、
証明書って証明してもらうので、お金が掛かるんですよ。
今までの “sweetsblast.net" とは別に！
“sweetsblast.net"と"sbatlabo.sweetsblast.net"を１枚の証明書で運用する、『ワイルドカードSSL証明書』と言うのもありますが、年間数万円掛かるんですよね。。。
サブドメインをたくさん運用する場合は使えますが、数個のドメインだったら、個別に作った方が安いです。
だって、１ドメイン年間1,000円くらいで作れますから、2つでも2,000円ですもん。
なので、今回は、新たに"sbatlabo.sweetsblast.net"のドメインで作ることにしました。

実際にSSL化をしていくよ

実際に、SSL証明書を作って行きますが、手順は下記参考サイトのままなので、詳細はそちらを参照してください。
ここでは、手順が違った部分とかのみを抜粋していきます。

参考サイト：さくらVPSにSSL証明書を導入しHTTPS通信の構築

SSL証明書を購入する前準備

上記参考サイトの『SSL証明書購入の前準備』の項目をそのまま実行していきます。
参考サイトと異なる点としては、
・必要なモジュールのインストールは、既にインストール済みなのでスキップ
・秘密鍵やCSRの作成は、/etc/httpd/conf/ssl_sbatlabo 配下で行う。
　→ すでに作成済みとは別に分かりやすく管理するため
の２点です。

ちなみに、秘密鍵を作成するときに設定する"パスフェーズ"は、すでに作成していたものと同一にしました。
本当なら、分けた方が安全と思うけど、管理が面倒なので。

SSL証明書の購入

続いて、SSL証明書を購入します。
こちらも、参考サイトの『SSL証明書の購入』と同じ。

認証ファイルのダウンロード

SSL証明書の購入手続きを終わると、認証ファイルダウンロードの手順になります。
購入手続きが終わってから、大体１０分くらいで認証ファイルがダウンロードできる様になりました。
（クレジットの支払い通知がメールで来たタイミングでDLできる様になったみたいです）

認証ファイルをサーバーに配置

次にダウンロードした認証ファイルをサーバーに配置します。。。
が、ここで罠が待っていました。

認証ファイルをサーバーの sbatlabo ディレクトリに配置して…
待つこと15分…全く認証されません。
……参考ページでは3分くらいで認証されると書いてあったんですけど。
「う−ん、まだ時間がかかるのかな？」
と思っていたのですが、ふとメールをみたら、さくらからメールが来ていました。
（だいたい、認証ファイルがダウンロードできる様になってから10分後くらい）
そのメールに認証ファイルのアップロード方法が書かれていたのですが…

“認証ファイルの配置場所"が違っていました。

何と言う罠…
メール通りの正しい位置に配置し直して…待つ事20分。
無事に確認され、証明書がダウンロードできる様になりました。
ちゃんと、メールは確認しましょうね。

サーバ証明書、CA証明書の配置

これも参考サイトの通り。
サーバ証明書は、前項でダウンロードしたファイルですが、
CA証明書（中間証明書、参考サイトのinternal.crt）は認証局によって、取得方法が変わるので、手順はさくらから送られてくるメールをしっかり確認しましょう。
私の場合は、JPRSの証明書だったので、こちら からダウンロードしました。
あとは、ダウンロードしたファイルをサイトへ配置すればOK。

Apacheの設定の変更

新たにApacheのSSL設定を行う場合は、参考サイトの『Apacheに反映』を参考に進めます。
私の場合は、以前の対応 ですでに設定はしているので、
今回はServerNameが"sbatlabo.sweetsblast.net"側のSSL証明書関連設定のファイルパスを、今回作成したものに変更しました。
具体的には SSLCertificateFile, SSLCertificateKeyFile, SSLCertificateChainFile の３箇所です。

変更後のconf（/etc/httpd/conf.d/ssl.conf）を抜粋すると以下のようになりました。

<VirtualHost _default_:443>
    DocumentRoot "/var/www/html/sbatlabo"
    ServerName sweetsblast.net
    SSLCertificateFile /etc/httpd/conf/ssl.crt/server.crt 
    SSLCertificateKeyFile /etc/httpd/conf/ssl.key/server.key  
    SSLCertificateChainFile /etc/httpd/conf/ssl.crt/internal.crt
         ......
</VirtualHost>
<VirtualHost _default_:443>
    DocumentRoot "/var/www/html/sbatlabo"
    ServerName sbatlabo.sweetsblast.net
    SSLCertificateFile /etc/httpd/conf/ssl_sbatlabo/ssl.crt/server.crt
    SSLCertificateKeyFile /etc/httpd/conf/ssl_sbatlabo/ssl.key/server.key
    SSLCertificateChainFile /etc/httpd/conf/ssl_sbatlabo/ssl.crt/internal.crt
         ......
</VirtualHost>

Apache再起動

そして、最後に忘れずApacheの再起動
systemctl restart httpd
です。
時々、再起動を忘れて、"上手くいかない！"と悩む時がありますからね。
設定を変えたら、即再起動！　これ大事。

おわり

はい、これで無事にサブドメイン sbatlabo.sweetsblast.net のSSL対応が無事に完了です。
一応、サイト表示を確認して、証明情報も反映されているのも確認できました。

ふぅ〜、これでひと段落。かな？
あとは、サイトのテーマ・デザインを自分の好み＆やりたい様に変更していければ…
次は、ローカルでのテーマ変更テスト関連の投稿ができるといいな〜

ではでは、今回はこれにて。またね。