HTTPSでデータを納品したい！　StartComの無料SSLサーバー証明書をNASで使う

ステップ1：NASの事前準備

　まずは、NAS側の設定をする。SynologyのNASの場合、標準ではHTTPS接続が無効になっているため、設定画面からHTTPSを有効化しておく。

「ネットワーク」-「DSM設定」で「HTTPS接続を有効にする」にチェックを付ける。HTTP接続をリダイレクトしてもかまわないが、今回は、ルーター側で外部からNASへのHTTP接続は遮断する予定なのでチェックは不要だ

　続いて、外部アクセスを有効にする。HTTP、HTTPSのどちらを使うかに限らず、URLを生成してファイル送信できるようにするには、外部アクセスの有効化が必要となる。

Dynamic DNSを有効にしておこう（固定IPが使える場合は不要）

　今回の記事では、いくつかのドメイン名が登場するが、仮名ではわかりにくいため、記事上でも筆者がテスト用に取得した実名を利用する。ここでは、「soxco.synology.me」という名前でDynamic DNSを設定した。

　なお、実際にHTTPSでファイルを転送する際は、NASのURLがSSLサーバー証明書の独自ドメインとなる必要がある。このため、ここで設定したDynamic DNSを後で独自ドメインのDNS設定でCNAMEのエントリで設定する（ステップ3）。

ステップ2：ルーターの設定

　続いてルーター側で外部アクセスを可能にする。SynologyのNASの場合、HTTPSの接続にはポート5001を利用する。このため、ルーターのポートフォワードやバーチャルサーバー機能を利用し、ポート5001をNASのIPアドレスに転送し、外部からアクセス可能にしておく。

ポート5001をNASに転送

　設定後、スマートフォンなど、外部アクセス可能な端末からアクセスできるかどうかを確認しておくといいだろう。今回は、前述したように、Dynamic DNSの名前が「soxco.synology.me」なので、「https://soxco.synology.me:5001」でアクセスできる。

Dynamic DNSでアクセスできるかを確認

　もちろん、この段階ではサーバー証明書は適用されていないので、アクセスの警告が表示される。自分だけが使うなら、“オレオレ証明書”でもかまわないが、さすがに第三者に受け入れさせるわけにはいかない。

ステップ3：独自ドメインのDNS設定

　ここまでで、外部からNASにアクセスできる環境が整ったが、ドメイン名がDynamic DNSのままでは、SSLサーバー証明書は発行できない。このため、このDynamic DNSに、独自ドメインを割り当てる。

　具体的には、契約しているDNSサービスの設定画面にアクセスし、「CNAME」のエントリを追加する。設定できたら、スマートフォンなどから「https://ft.soxco.jp:5001」でアクセスできるかを確認する（もちろんまだ警告が表示される）。

「ft.soxco.jp」というサブドメインに、Dynamic DNSの「soxco.synology.me.」を設定。さくらインターネットの場合、データ（soxco.synology.me）の末尾に「.」が必要なので注意

ステップ4：StartComのSSLサーバー証明書取得

　ここまで準備できたら、いよいよSSLサーバー証明書を発行する。この手順は長いので、さらに4つのステップに分けて解説する。

・4－1　サインアップ
　まずは、「https://www.startssl.com」にアクセスし、StartComにサインアップする。

StartComのWebページ。英語での作業となる

　サインアップ時には、名前、住所、電話番号などを入力するが、証明書発行時に、この住所が審査対象となるので、正確に入力することをおすすめする。

個人情報は正確に

　サインアップが完了すると、メールでレジストレーションコードが送られてくるので、これを入力する。しばらく時間がかかるので、根気よく待つ必要がある。

メールのレジストレーションコードを入力

　最初のレジストレーションコードを入力すると、先方でサインアップを承認するかどうかが検討される。おそらく、住所やメールアドレスなどが実在するかを確認しているようで、筆者はなかったが、場合によっては先方の担当者からメールでいくつかの質問が届く場合もあるようだ。

　無事に承認されると、再びレジストレーションコードがメールで送られてくるので、メールに記載されているURLにアクセスして、コードを入力する。

レジストレーションコードは合計2回入力する

　2回目のレジストレーションコードを入力すると、Webアクセス用の秘密鍵の生成手順になる。StartComでは、ユーザー認証に、一般的なユーザーIDとパスワードではなく、クライアント証明書を利用する方式となっている。このため、秘密鍵を生成し、その秘密鍵を元にクライアント証明書を作成し、これをブラウザにインストールする（次回以降、ログイン時に証明書の選択画面が表示される）。

秘密鍵からログイン用のクライアント証明書を作成する

　これでStartComのサービスを利用可能になるが、ここで1つ実行しておいてほしいのがクライアント証明書のバックアップだ。クライアント証明書は、簡単には再発行できないため、OSを更新したりPCを入れ替えたりした際に、証明書がなくなると、英語でサポートとやり取りすることになる。

　インターネットオプションから証明書の一覧を表示し、StartComの証明書を必ずバックアップしておこう。

クライアント証明書は忘れずにバックアップ

・4－2　ドメイン名の実在性確認
　StartComのサービスが利用可能になったら、最初に取得する証明書で利用予定のドメイン名の実在性確認を実行する。

　前述したように、StartComのClass 1証明書では、この実在性確認に書類審査などは必要なく、メールベースで可能となっている。具体的には、postmaster@ドメイン、hostmaster@ドメイン、webmaster@ドメインなどのメールアドレスにメールが送信されたコードを入力するという方式になる。

　これらのメールアドレスが使えれば、ドメインの所有者であることが確認できるという簡易的な認証だ。あらかじめメールを受信できるようにしてから、確認作業を実行しよう。

Validation Wizardでドメインの実在性を確認。メールベースでの確認となる

・4－3　サーバー証明書の発行
　ドメインの所有者であることが確認されると、いよいよサーバー証明書を発行可能となる。「Certificates Wizard」を実行しよう。

Certificates Wizardでサーバー証明書を発行

　発行する証明書の種類で「Web Server SSL/TLS Certificate」を選択後、10文字以上のパスワードを入力して秘密鍵を生成する。暗号化のキーサイズやアルゴリズムは標準設定のままでかまわない。

パスワードを指定して秘密鍵を生成

　生成された秘密鍵は、後でNASに適用する必要があるので、テキストボックスの文字を全選択し、Notepad（プレーンテキストで保存する必要がある）などに張り付けて「ssl.key」として保存しておく。これも無くすと、簡単には再発行できないので、必ずバックアップしておくことをおすすめする。

生成された秘密鍵。Notepadなどでssl.keyとして保存しておく

　続いて、SSLサーバー証明書を生成するドメイン名を選択する。Validation Wizardで検証されたドメインが表示されるので選択し、サブドメインを指定する。

　StartComのサービスでは、有料のClass 2を利用すれば、ドメインのワイルドカードで利用できるSSLサーバー証明書を発行できるが、無料のClass 1では、ドメイン自体と特定のサブドメインのみで利用できる証明書となる。

　このため、ステップ3で独自ドメインのDNSで設定したサブドメイン（ここでは「ft.soxco.jp」）を指定する。

証明書の対処となるサブドメインを指定する

　これで、秘密鍵と同様にSSLサーバー証明書の文字列がテキストボックスに表示されるので、Notepadにコピーして「ssl.crt」で保存しておく。

・4－4　秘密鍵の復号
　これで、NASへの設定に必要な秘密鍵とサーバー証明書が作成されたが、SynologyのNASでは（QNAPも）、暗号化された秘密鍵をそのまま適用することができない。このため、復号化した状態のファイルを生成する必要がある。

　StartComの「Tool Box」から「Decrypt Private key」を選択し、ssl.keyにコピーした文字列と生成時に指定したパスワードを入力する。これで、復号された秘密鍵ができあがるので、「private.key」などとして保存しておく。

秘密鍵の復号機能も提供される

　なお、秘密鍵は絶対に外部に漏れないように厳重に管理する必要がある。特に復号化したprivate.keyの文字列は、パスワードで保護されていないため、丸裸の状態だ。できれば、NASに適用後、すぐにでも削除しておくべきだろう（ssl.keyは削除しないように注意）。

できあがったファイル。このうちprivate.keyとssl.crtをNASに適用する。private.keyの扱いには要注意

ステップ5：SSLサーバー証明書のNASへの適用

　ファイル一式が整ったら、いよいよNASに適用する。SynologyのNASの場合であれば、「コントロールパネル」の「セキュリティ」にある「証明書」からインポート可能だ。

証明書をNASにインポートする

　秘密キーに「private.key」、証明書に「ssl.crt」を指定し、「OK」をクリックすれば証明書がインポートされる。なお、暗号化されたままの秘密キーはインポートできないため、「ssl.key」を指定した場合はエラーになるので注意しよう。

ファイルを指定してインポートを実行

　この状態で、「https://ft.soxco.jp:5001」のように、証明書を取得したサブドメインを指定してアクセスすれば、ブラウザでの警告なしにHTTPSでアクセスできるようになる。

HTTPSでアクセスしても警告が表示されない

ステップ6：自動生成ファイル共有リンクのHTTPS化

　基本的な設定は、上記ステップ5までで完了となるが、冒頭で触れたように、筆者は単にNASに外部からHTTPSでアクセスしたいのではなく、ファイル送信機能で三者にファイルを送信する際にHTTPSアクセスを利用したいため、自動生成URLがHTTPSの独自ドメインになるようにNASの設定を変更する必要がある。このため、Synology以外のNASを利用している場合は、このステップは飛ばしてほしい。

　SynologyのNASでは、標準で生成されるファイル送信用のURLは、前述したように「http://gofile.me/220Oe/xE3XeYO」となる。まずは、これを「gofile.me」経由ではなく直接転送に変更する。

　コントロールパネルの「Quick Connect」を開き、「Quick Connectを有効にする」にチェックを付け、いったん、機能を有効化。「詳細設定」ボタンをクリックして、「ファイルの共有」のチェックを“外す”。

詳細設定でファイル共有のチェックを外す。いったん、Quick Connectを有効化しないと設定できないので注意

　これで、ファイル送信用のURLを自動生成する際に、Quick Connectの「gofile.me」を経由しなくなるが、残念ながらURLは「http://soxco.synology.me:5000/fbsharing/2wLxaVQTxT」のようなDynamic DNS名となる。

　このままでは、せっかく取得した証明書を利用できないため、Dynamic DNS名を独自ドメインに変更する。「外部アクセス」の「詳細」で、ホスト名に証明書を取得したサブドメイン名を指定する。

ホスト名に証明書を取得したサブドメインを指定

　これで全設定が完了だ。SynologyのNASでは、設定画面にアクセスしたときのプロトコルでファイル送信用のURLを自動生成する。このため、ファイル共有用のURLを生成する際に、自らHTTPSでファイルマネージャなどにアクセスすれば、「https://ft.soxco.jp:5001/fbsharing/c4tvY2EJ」のように、HTTPSで、しかもブラウザでの警告なしに、第三者にファイルを送信できるURLが生成できることになる。

必ずHTTPSでアクセスした状態でURLを生成しよう。HTTPでアクセスして生成するとURL側もHTTPSではなく、HTTPになってしまう