さくらでSSL(RapidSSL)の申し込みで自動認証が色々と面倒だったので情報まとめ

さくらでSSL(RapidSSL)の申し込みで行われる認証ファイルの自動認証が色々を面倒だったのでブログに情報をまとめます。

自動認証とは/.well-known/pki-validation/fileauth.txtをジオトラスト社のクローラーに自動でクロールしてもらい、認証確認をしてもらう一連の流れを指します。

状況によりけりですが、サーバー証明書の有効期限が切れていたり中間CA証明書が正しく含まれていない場合はクローラーが上手に認証ファイルをクロールしてくれません。

そのため以下のようにhttpsへ転送している場合は、その設定を解除します。

# RewriteCond %{HTTP:X-Sakura-Forwarded-For} ^$
# RewriteRule ^(.*)$ https://tkosuga.jp%{REQUEST_URI} [R=301,L]

SSLがvalidな状態であれば問題ありません。

また、今時ないかと思いますがTLSのバージョンが1.1以上である必要があるようです。もし万が一、TLS1.0を利用している場合は自動認証されません（TLS1.0の無効化期限を過ぎているのに利用している方が問題ですが）。

もし独自でSSLをインストールする場合は中間CA証明書を含めるようにしましょう。以下URL先を参照して適切な中間CA証明書を含めて下さい。

認証ファイルの末尾に誤って改行コードが含まれたりすると自動認証されません。そのためテキストファイルから改行コードを取り除く必要があります。

Linuxサーバー上では以下のようにコマンドで削除してあげると楽です。

cat fileauth.txt | tr -d '\n' > fileauth.txt

認証ファイルはgzip圧縮を解除してプレーンな情報にしないと自動認証されないらしいです（ほんとかな？）。実際にそのようなのでmod_deflateで認証ファイルを解除します。

<IfModule mod_deflate.c>
  SetEnvIfNoCase Request_URI "/.well-known/(.*)$" no-gzip

上記の設定で /.well-known/ 以下はgzipが解除されます。

以下ジオトラストサイト内の「ファイル認証とはなんですか？」にクローラーの詳細が記載されています。更新日を見ると2017/09/26となっており、小まめに更新されているようです。

2017/10/10日時点でのクロールされるタイミングの要点を以下にまとめます。

以下の上記URLからのクロールタイミングを抜粋したテーブルです。認証用ファイルが届いてから速いほど、頻度が高いため認証の確認を行い易いです。

1週間を経過すると1日1回になるため試しづらくなります。そして、このクロールしてもらうタイミングは手動で指定できません。いつくるか分からないクローラーを待つことになります。

webhack / ウェブ技術が好き