有料のSSLサーバ証明書を買ってみた

harada
· 6 min read
有料のSSLサーバ証明書を買ってみた

今回は感想だけの日記で、技術的なものはほとんどないです。

このブログのような個人サイトや開発・検証環境で利用するSSL証明書は、だいたい無料のSSL証明書(特にLet's encrypt)が使われることがほぼほぼだと思います。

Let’s Encrypt
Let’s Encrypt は、非営利団体の Internet Security Research Group (ISRG) が提供する自動化された無料でオープンな認証局です。今年の非営利活動のすべてについては、2024年 年間報告書を読んでください。
Let's Encrypt

今回は無料の証明書ではなく、あえて有料のSSL証明書を買ってみました。
その時の所管をのせておきます

なぜ有料のSSL証明書を購入したのか

特に深い理由はないです。
強いて言えば発行機関のネームバリューブランドが欲しかったから?w

元々certbotを利用して自動取得・更新の処理を入れていましたが、個人的に自動処理の設定組み込むのに意外と手を焼かされる印象があるので、それも理由の一因にあります。
あと期限が90日と短いしね。
※自動化すればよいだろ()
いずれは47日に短縮される未来だけど

Certbot - ArchWiki
ArchWiki

どこの証明書買ったの?

JPRSのSSL証明書を購入しました。理由は安いから。
単一ドメインのDV証明書なら、1年で990円で買えます。(おそらく最安値)

サーバー証明書発行サービス | JPRS
JPRSは、国産のサーバー証明書を発行する「JPRSサーバー証明書発行サービス」を、指定事業者向けに提供しています。
JPドメイン名の登録管理とJP DNSの運用でインターネットの基盤を支えています。

ちなみにワイルドカード証明書にしたり、Digicertなどメジャーどころの証明書なんかにしたら価格が爆上がりします...
ほんとはワイルドカード欲しかったけど、とても個人で購入できるものではない

どうやって購入したの

JPRSの証明書を取り扱っているさくらインターネットさんから購入しました。
元々さくらのサービスを利用していたこともあり、新規でアカウント登録も不要かなと思ったので

JPRS SSLサーバー証明書 | さくらのSSL
JPRSのSSLサーバー証明書についてご案内します。「.jp」ドメインのサービスで培った安心と信頼の品質を、サーバー証明書でも実現。1枚の証明書で複数のサブドメインに対応可能なワイルドカード証明書を、18,150円/年でご提供します。
さくらのSSL

利用開始までの流れ

基本は以下ページに書いてある内容と同じ

ご利用の流れ | さくらのSSL
SSLサーバー証明書を取得するに当たっての事前準備からお申し込み、設定までの基本的な流れについてご説明します。
さくらのSSL
  1. 証明書申し込みフォームへアクセス
エラーお申し込み手続きの中断

申し込み種別は「新規取得」、プランは「JPRSドメイン認証型」を選択
支払い方法はお好きなもので

  1. ドメイン所有権確認について

ファイル認証メール認証のいずれかが選択できるようです。
これもどちらかお好きなほうでよいです。
私はまだ設置先サーバを構築していないので、メール認証にしました。

認証メールアドレスは色々なパターンに対応しているようで、サブドメインなしのメールにも対応してくれているので助かります

  1. CSRの入力

約款・規約に同意して次へ進むと、CSR(証明書情報)の内容確認のページに移ります

CSRの作成方法についてはご丁寧に参考例をまとめてくれています
面倒なので私はこちらのページで作成しました。

CSRを作成したい | さくらのサポート情報
本マニュアルではCSRのご説明とCSRの作成手順についてご案内しています。CSRとはCSR(CertificateSigningRequest)とは、SSLサーバー証明書を発行するための証明書署名要求のことです。CSRには公開鍵の情報と、組織名や所在地等の情報(Distingui
さくらのサポート情報

Organization Nameは適当な名前をでっち上げました。
ほんとは良くないんですが、DV証明書だし会社もってないし個人名出したくないという理由です。

  1. 認証メールの確認

申請内容問題なければ申し込みを実施
指定した認証メールアドレス宛に以下の様なメールが届くはずです

URLをクリックすると証明書払出を承認するかどうかの選択が出てくるので、承認を選択します

  1. 発行完了の通知が来るので証明書をダウンロードする

さくらの場合、コントロールパネルからサーバ証明書をダウンロードできるっぽいです

  1. 証明書をサーバに設置する

設置方法はWebサーバーアプリケーションによって異なりますが、JPRSのサイトでマニュアルを用意してくれていますので、そちらを参考に設置します

設定マニュアル | JPRS
JPRS証明書発行サービスのCSR生成手順とサーバー証明書のインストール手順をご紹介しています。
JPドメイン名の登録管理とJP DNSの運用でインターネットの基盤を支えています。

ちなみに最初入れたとき中間証明書をうっかり設置し忘れていました。
最近の主要ブラウザは中間証明書がなくても特にエラーを表示しないので、ミスに気づきづらいです。。。

SSLサーバ証明書の設定確認、中間CAの設定ミスを発見する - Qiita
SSLサーバ証明書の設定で一番やらかしがちなのは中間CA証明書の設定ミスです。PCブラウザでの鍵マーク確認だけじゃダメ!いまどきのPCブラウザだと証明書に記載されている Authority In…
Qiitakawaz

設置後に、SSLサイトチェッカーなど使うと安心ですね。

SSLチェック【証明書・プロトコル・暗号スイート確認】
サーバー管理者用の支援ページです。管理中サーバーに対して「SSLが正常に動作をしているか」「脆弱性に対応できているか」「有効期限は大丈夫か」などを確認できます。

動作確認

ブラウザから証明書情報を確認したところです、正しく設置されていますね

その他

  • CSR作成時に発行された秘密鍵は漏洩しないよう厳重に保管すること
    • サーバに設置したり証明書の更新時に利用するため
  • 更新はACMEツールなど使えばできけど未検証
    • 更新するかはまだ考えてない
  • OV、EV証明書は企業情報を開示する必要があるので個人での取得はムズカシそう
  • ECDSA証明書には対応してないっぽい?(2025年5月現在)

おわり

Let's encryptやACMなどで無料SSL証明書を使っていると、意外とCSRの作成とかしないので面白かったです。
前提でも言ったとおり、個人で使う分や開発・検証用途であれば無料のSSLで充足していると思うので、わざわざ有料の証明書を使う必要性はありません。
ちょっとしたブランディング意識を出したい時だけでいいでしょう。