ビデオチュートリアルを再生

SSL It! 拡張は、Let's Encrypt や DigiCert(Symantec、GeoTrust、RapidSSL ブランド)などの信頼できる認証局(CA)が提供する SSL/TLS 証明書やその他の SSL/TLS 証明書でウェブサイトを保護するための単一のインターフェイスを提供します。その他に、次のことができます。

  • HTTP から HTTPS へのリダイレクト経由でウェブサイト訪問者のセキュリティを強化する。
  • 安全でない HTTP 接続経由のウェブサイトアクセスをブラウザが拒否するようにして、ウェブサイト訪問者を保護する。
  • ウェブサイト訪問者のプライバシーを保護し、OCSP Stapling でウェブサイトのパフォーマンスを向上する。
  • プロトコルと Mozilla で生成された暗号を使用して、SSL/TLS 証明書によって暗号化した接続のセキュリティを強化する。

SSL It! の利用を開始する

  1. SSL It! 拡張はデフォルトでインストールされています。
  2. SSL It! の全機能を活用するには、最新バージョンの DigiCert SSL と Let's Encrypt 拡張もインストールする必要があります。

ドメインの SSL/TLS 証明書を管理するには、[ウェブサイトとドメイン]でドメインを選択します。[SSL/TLS 証明書]で、ドメインの現在のセキュリティステータスを確認できます。

image status

SSL/TLS 証明書でウェブサイトを保護する

SSL It! 拡張により、無料または有料の SSL/TLS 証明書でウェブサイトを保護できます(現時点では DigiCert のもののみ)、また、既に所有している SSL/TLS 証明書を使用することもできます。

Let’s Encrypt の SSL/TLS 証明書でウェブサイトを保護するには:

  1. [ウェブサイトとドメイン] > ドメイン > [SSL/TLS 証明書]に移動します。
  2. 「Entry-level protection」の下で[無料で取得]をクリックします。
  3. 緊急時の通知とキーの紛失時の復元に使用するメールアドレスを指定します。
  4. メインドメインに加えて保護したいものを選択します。
    • www サブドメインやドメインエイリアスがある場合、[ドメインおよび選択された各エイリアスに「www」サブドメインを含める]チェックボックスをオンにします。
    • ウェブメールを使用する場合、[このドメインでウェブメールを保護]チェックボックスをオンにします。
    • 上記のすべてに加え、他のサブドメインがある場合、[ワイルドカードドメインを保護(www とウェブメールを含む)]ラジオボタンをオンにします。
  5. [無料で取得]をクリックします。

Let’s Encrypt の SSL/TLS 証明書が発行され、自動でインストールされます。

注釈: Let’s Encrypt の SSL/TLS 証明書でドメインを保護した場合、後で契約に新しいドメイン、サブドメイン、ドメインエイリアス、ウェブメールを追加すると、SSL It! によって Let’s Encrypt の SSL/TLS 証明書が再発行され、自動で保護されます。これには、[ウェブサイトとドメイン] > ドメイン > [SSL/TLS 証明書]に移動し、[ウェブサイトを保護]オプションをオンにします。

有料の SSL/TLS 証明書を取得するには:

  1. [ウェブサイトとドメイン] > ドメイン > [SSL/TLS 証明書]に移動します。

  2. 購入する SSL/TLS 証明書を見つけます。証明書について詳しくは、[詳細を表示]をクリックしてください(有効期限、検証タイプなど)。選択が完了したら、[今すぐ購入]をクリックすると、Plesk オンラインストアに自動でリダイレクトされます。

  3. 住所、支払い情報を入力してから証明書を購入します。

  4. Plesk に戻ります(ブラウザの[戻る]ボタンを使ってください)。

  5. 支払いの処理にはしばらく時間がかかります。支払いステータスを更新するには、[再読み込み]をクリックします。支払いステータスは 1 時間に一度自動更新されます。

    image waiting payment

  6. 支払いが処理されたら、[必要なデータを入力]をクリックします。

    image payment received

  7. 必要な連絡先情報を入力し、[OK]をクリックします。

  8. Plesk が証明書署名リクエスト(CSR)を自動作成し、SSL/TLS 証明書を受け取ってインストールします。SSL/TLS 証明書のタイプに応じてしばらく時間がかかります。[再読み込み]をクリックして SSL/TLS 証明書を手動で更新することも、Plesk によって自動更新されるまで待つこともできます(Plesk による SSL/TLS 証明書のチェックは 1 時間に一度行われます)。

注釈: 一部の SSL/TLS 証明書(EV 証明書など)では、ユーザによる追加のアクションが必要です。CA が申請書を確認できるように、電話またはメールに応答し、必要書類を提出する必要があります。

SSL/TLS 証明書がインストールされると、[ウェブサイトとドメイン > ドメイン > [SSL/TLS 証明書]画面に、インストールされた SSL/TLS 証明書に関する情報(名前、認証局、メールアドレスなど)、保護されているコンポーネント、その他のオプション([http から https へのリダイレクト]、[HSTS]など)が表示されます。

注釈: You can also secure websites with wildcard SSL/TLS certificates via the CLI. To do so, execute the CLI commands of the following pattern:

plesk ext sslit --certificate -issue -domain <domain_name> -registrationEmail <email> -secure-domain -wildcard

and then

plesk ext sslit --certificate -issue <domain_name> -registrationEmail <email> -continue

The first command creates a wildcard certificate order, while the second one completes the order and issues the certificate.

SSL/TLS 証明書をアップロードする

SSL/TLS 証明書をアップロードする必要があるのは、次のような場合です。

  • ドメインの保護に使用したい証明書が既に手元にある。
  • SSL It! 経由で取得できない証明書をインストールしたい。

SSL/TLS 証明書をアップロードするには:

  1. [ウェブサイトとドメイン] > ドメイン > [SSL/TLS 証明書]に移動し、[アップロード]をクリックします。

    image upload

  2. アップロードする SSL/TLS 証明書の .pem ファイルを見つけて[開く]をクリックします。

ドメインに SSL/TLS 証明書が自動的にインストールされます。

インストールされた SSL/TLS 証明書を更新する

ウェブサイトを継続的に保護するためには、インストールされた SSL/TLS 証明書をタイムリーに更新する必要があります。SSL It! 拡張がこれをサポートします。

SSL It! は Let’s Encrypt と DigiCert の無料 SSL/TLS 証明書を有効期限の 30 日前までに更新します。

image renew

SSL It! では有料 SSL/TLS 証明書を自動更新することはできませんが、次のことが可能です。

  • 手動で再発行する。
  • 期限が切れた SSL/TLS 証明書から無料の Let’s Encrypt 証明書への切り替えを SSL It! に自動で実行させる。

有料の SSL/TLS 証明書を再発行するには:

  1. [ウェブサイトとドメイン] > 有料 SSL/TLS 証明書で保護しており、期限切れが迫るドメイン > [SSL/TLS 証明書]に進みます。

  2. [証明書を再発行]をクリックすると、Plesk オンラインストアに自動でリダイレクトされます。

  3. 住所、支払い情報を入力してから証明書を購入します。

  4. Plesk に戻ります(ブラウザの[戻る]ボタンを使ってください)。

  5. 支払いの処理にはしばらく時間がかかります。支払いステータスを更新するには、[再読み込み]をクリックします。支払いステータスは 1 時間に一度自動更新されます。

    image waiting payment

  6. 支払いが処理されたら、[必要なデータを入力]をクリックします。

    image payment received

  7. 必要な連絡先情報を入力し、[OK]をクリックします。

  8. Plesk が証明書署名リクエスト(CSR)を自動作成し、SSL/TLS 証明書を受け取ってインストールします。SSL/TLS 証明書のタイプに応じてしばらく時間がかかります。[再読み込み]をクリックして SSL/TLS 証明書を手動で更新することも、Plesk によって自動更新されるまで待つこともできます(Plesk による SSL/TLS 証明書のチェックは 1 時間に一度行われます)。

期限が切れた SSL/TLS 証明書を Let’s Encrypt 無料証明書に自動で切り替えるには:

  1. [ウェブサイトとドメイン] > 有料 SSL/TLS 証明書で保護しており、期限切れが迫るドメイン > [SSL/TLS 証明書]に進みます。
  2. [ウェブサイトを保護]をオンにします。

これで、有料 SSL/TLS 証明書の期限が切れたときに、SSL It! が自動で Let’s Encrypt の無料 SSL/TLS 証明書に切り替えて、契約に属するドメイン、サブドメイン、ドメインエイリアス、ウェブメールを保護するようになります。切り替えは SSL/TLS 証明書の期限が切れた 1 時間以内に行われます。

SSL/TLS 証明書の割当を解除する

  1. [ウェブサイトとドメイン] > SSL/TLS 証明書の割当を解除するドメイン > [SSL/TLS 証明書]に進みます。
  2. [証明書を割り当て解除]をクリックして[OK]をクリックします。

ウェブサイトおよび暗号化されたサーバ接続のセキュリティを強化する

信頼できる CA の有効な SSL/TLS 証明書でウェブサイトを保護するだけでは、全方位的な保護としては十分ではありません。SSL は複雑なテクノロジーで、さまざまな機能(鍵暗号化アルゴリズム、セキュアな暗号、HSTS など)を備えており、以下のメリットがあります。

  • ウェブサイト訪問者のセキュリティを強化する。
  • ウェブサイトパフォーマンスを向上する。
  • 全サーバの暗号化された接続のセキュリティを強化する。

これらの機能を有効にすると、ウェブサイトの検索エンジンランキングが向上します。

  • [http から https へのリダイレクト]により、ウェブサイトやウェブメールを安全ではない HTTP から安全な HTTPS バージョンへ転送する SEO 対応の恒久的な 301 リダイレクトをセットアップできます。
  • HSTS により、安全でない HTTP 接続経由のウェブサイトアクセスをブラウザに拒否させることができます。
  • OSCP により、ウェブサイトの CA 証明書のステータス(良好、無効、不明)のリクエストを、訪問者のブラウザではなくウェブサーバに実行させることができます。
  • Mozilla の TLS バージョンと暗号は、SSL/TLS 証明書で保護することで接続を強化します(ウェブサイト、メール、Pleskなど)。

ご用心: これらの機能をオンにする前に、ウェブサイトが問題なく HTTPS 経由でアクセスできることを確認してください。問題がある場合、訪問者がウェブサイトにアクセスできなくなる可能性があります。

注釈: 既にウェブサーバで HSTS または OCSP Stapling を手動セットアップした場合はSSL It! で HSTS または OCSP Stapling をオンにする前にこれらのカスタマイズを削除してください。

ウェブサイトおよび暗号化されたサーバ接続のセキュリティを強化するには:

  1. 信頼できる CA の有効な SSL/TLS 証明書でウェブサイトを保護します。

  2. [ウェブサイトとドメイン] > ドメイン > [SSL/TLS 証明書]に移動します。

  3. 以前の Plesk バージョンから Plesk Obsidian にアップグレードした場合、[http から https へのリダイレクト]をオンにしてください。このリダイレクトはデフォルトでウェブメールにも適用されます。Plesk Obsidian をクリーンインストールした場合、ドメインとウェブメールのリダイレクトもデフォルトでオンになっています。

    注釈: ウェブメールを有効な SSL/TLS 証明書で保護しない場合や、ウェブメールを使用していない場合は、[ウェブメールを含む]チェックボックスをオフにしてください。

  4. HSTS を有効にする:

    1. HSTS をオンにします。

    2. ウェブサイトを保護している SSL/TLS 証明書が[Max-age]の期間を通して有効であることを確認してください。サブドメインとウェブメールのサブドメインでも同じことを確認します。[Max-age]期間の終了前に SSL/TLS 証明書の期限が切れる場合、HSTS をオンにしていると、訪問者はウェブサイトにアクセスできなくなります。

    3. サブドメインを有効な SSL/TLS 証明書で保護しない場合や、サブドメインを使用していない場合は、[サブドメインを含む]チェックボックスをオフにしてください。

    4. ウェブメールサブドメインを有効な SSL/TLS 証明書で保護しない場合や、ウェブメールを使用していない場合は、[ウェブメールを含む]チェックボックスをオフにしてください。

    5. [HSTS を有効にする]をクリックします。

      注釈: [Max-age]期間の終了前に SSL/TLS 証明書の期限が切れるが、HSTS を使用したい場合には、[ウェブサイトを保護]をオンにすることをお勧めします。これで、SSL/TLS 証明書の期限が切れたときに、SSL It! が自動で Let’s Encrypt の証明書に切り替え、契約に属するドメイン、サブドメイン、ドメインエイリアス、ウェブメールを保護するようになります。ウェブサイトは引き続き保護され、HSTS は機能を続けます。

  5. [OCSP Stapling]をオンにします。

  6. Mozilla の TLS バージョンおよび暗号を有効にする

    1. [拡張] > [自分の拡張]タブで、[SSL It!]の横の[開く]をクリックします。
    2. [TLS バージョンおよび暗号(Mozilla)]をオンにして、[中間(推奨)]を維持して[有効にして同期]をクリックします。
    3. 最新状態を維持するには、数ヶ月に一度[今すぐ同期]をクリックしてください。

ウェブサイトとサーバの SSL セキュリティを強化したら、ウェブサイトの SSL セキュリティを評価できます。

注釈: You can also enable HSTS via the CLI. For example, to enable HSTS for the domain example.com that has been already secured with an SSL/TLS certificate, run the following command:

plesk ext sslit --hsts -enable -domain example.com

To see details on using SSL It! via the CLI, run the plesk ext sslit --help command.

既知の問題と制約事項

  • OCSP Stapling が機能するのは、nginx と Apache を利用しているか nginx のみを利用しているウェブサイトです。Apache のみを利用している場合、[OCSP Stapling]をオンにする必要はありません。
  • 完全な信頼チェーンが確立していない場合、一部のベンダーの SSL/TLS 証明書(DigiCert の無料証明書など)では OCSP Stapling が機能しません。証明書が OCSP Stapling に対応しているかどうかを確認するには、SSL 構成で SSL Labs Test を実行します。
  • 現在、Mozilla の TLS バージョンと暗号の自動同期はサポートされていません。

ウェブサイトの SSL セキュリティを評価する

Google などの人気検索エンジンでは、SSL 保護レベルが高いウェブサイトがより上位にランクされます。SSL It! 拡張では、人気のテストサービス Qualys SSL Labs を使用して以下を行えます。

  • ウェブサイトの SSL 保護の強度をチェックする
  • 改善点を確認する
  • 最高スコアの「A+」を獲得する(必要に応じて SSL 保護を強化した後で)

ウェブサイトの SSL セキュリティを評価するには:

  1. [ウェブサイトとドメイン] > ドメイン > [SSL/TLS 証明書]に移動します。
  2. [SSL Labs Test を実行]をクリックします。

新しいタブに Qualys SSL Labs のウェブサイトが開き、テストが自動的に開始されます。テストが終了すると、成績が表示されます。これには数分かかる可能性があります。

信頼できる CA の有効な SSL/TLS 証明書でウェブサイトを保護し、SSL It! のセキュリティ強化機能をすべてオンにすると、「A+」を獲得できる可能性が高くなります。

SSL It! の提供する SSL/TLS 証明書のリストをカスタマイズする

デフォルトで、ドメインを SSL/TLS 証明書で保護するために SSL It! にアクセスすると、インストール対象として各種 CA の SSL/TLS 証明書が 4 つ表示されますが、実際にはそれ以外にもあります。

SSL It! has a list of SSL/TLS certificates available for installation. You can choose which of them will be visible in the SSL It! interface for you, your customers, and resellers. You can do so in the SSL It! interface or via the CLI.

(Via the SSL It! interface) To customize the list of SSL/TLS certificates available for installation in SSL It!:

  1. [拡張] > [自分の拡張]タブで、[SSL It!]の横の[開く]をクリックします。
  2. Next to "SSL/TLS Certificates", click "Configure".
  3. Select the desired SSL/TLS certificates and then click Save.

You, your customers, and resellers will now see only the selected certificates in the SSL It! interface.

(Via the CLI) To customize the list of SSL/TLS certificates available for installation in SSL It!:

  1. Plesk サーバに SSH 経由で接続し、以下のコマンドを実行して、利用可能な SSL/TLS 証明書の完全なリストを表示します。

    plesk ext sslit --product -list
    
  2. Copy the vendor and the product IDs of the SSL/TLS certificate that you want to add to the list or remove from it.

    image product list

  3. To customize the list of SSL/TLS certificates, use the CLI commands of the following patterns:

    • To add an SSL/TLS certificate to the list:

      plesk ext sslit --product -add -vendor <vendor-ID> -product <product-ID>
      
    • To remove an SSL/TLS certificate from the list:

      plesk ext sslit --product -remove -vendor <vendor-ID> -product <product-ID>
      
    • To reset the list of SSL/TLS certificates to defaults:

      plesk ext sslit --product -reset-to-defaults
      

    For example, if you want to add the ssl-web-server-ev certificate from Thawte to the list, run the following command:

    plesk ext sslit --product -add -vendor symantec.thawte -product ssl-web-server-ev
    
  4. Repeat the commands described above multiple times until you get the desired list of available SSL/TLS certificates.

注釈: If you are a vendor of SSL/TLS certificates and you want them to be integrated and sold in SSL It!, contact us by the email: plesk-extensions@plesk.com. We will tell you how to get started with writing your own extension to integrate the SSL/TLS certificates and guide you until they will be available for purchase in SSL It!.

SSL It! enhanced probability of certificates' issue

SSL It! has a default feature that significantly decreases a number of cases when Let’s Encrypt SSL/TLS certificates cannot be issued because of incompatible domain configurations.

When you get an SSL/TLS certificate from Let’s Encrypt, its servers need to validate that you control the domain names in the certificate. To do so, Let’s Encrypt uses so-called “challenges”: Let’s Encrypt gives a token file that Plesk places to http://<your_domain>/.well-known/acme-challenge/<token>. We call this directory the common challenge directory. The certificate issue will fail if this directory is not accessible. It may happen because of the following configurations:

When installed, SSL It! ensures that the common challenge directory is supported and accessible even if certain incompatible configurations are detected. The feature “common challenge directory support” is enabled by default in Plesk for Linux and Windows.

If necessary, you can turn off the feature via the CLI by running the following command:

plesk ext sslit --common-challenge-dir –disable.

However, we recommend that you keep the common challenge directory support on.

If you have updated to SSL It! 1.4.0 from earlier versions, the common challenge directory support will be turned on automatically unless the use-common-challenge-dir setting was disabled in panel.ini. If the option was disabled, you need to turn on the support manually by running the following command:

plesk ext sslit --common-challenge-dir –enable.

Starting with SSL It! 1.4.0 the use-common-challenge-dir setting is deprecated.