WordPressのSSL化（RappidSSL利用）

６．SSL証明書インストールチェック

私の環境では、wwwサーバがローカルのDMZに設置されルータによってローカル内と外部からアクセスできるようにルーティングしています。

そのためチェックするときは、スマホのテザリングを利用し外部からwwwサーバにアクセスしました。

＜RapidSSL Certificate Installation Checker＞

https://knowledge.rapidssl.com/support/ssl-certificate-support/index?page=content&id=so9556

図ｘ：サーバ証明書が正しくインストールされています

ローカルからテストすると「Invalid Chain」と表示され、検証が失敗します。外部からテストする必要があります。（このことに気づくのに、丸２日間要しました。）

＜GeoTtust SSL Toolbox＞

https://ssltools.geotrust.com/checker/views/certCheck.jsp

図ｘ：SSLの脆弱性まで検証してくれます

「-SSLv3」をsslのconfファイルに追記していないと警告が表示されました。私の場合、バーチャルホストが２つあるので、それぞれのconfファイルに追記しています。片方だけではダメでした。また、こちらのテストはローカルからもできました。が、念の為に外部からもテストしてみました。結果は同じでした。

７． 証明書のバックアップと後処理

csrディレクトリをまるごと安全な場所にバックアップし、そのあと、csrディレクトリを削除します。そのために、まず、csrディレクトリから外へ出ます。

root権限で作業を進めていたのでcsrディレクトリも当然rootでなければ作業ができません。もし、user5でコピーなどの作業を進めたいのであれば所有権をuser5に変更しておきます。

バックアップ先は、サーバ機外のPCや外部メディア（USBメモリ）に大切に厳重に保管します。（私はSDカードに保存し、金庫に保管しています。お客様の証明書等も。）

バックアップが終わったら、削除しておきましょう。

８．Wordpress HTTPSの導入

（１）プラグイン「Wordpress HTTPS」をインストールします。

（２）General setting

図ｘ：赤枠内を編集します

SSL Host www.shigizemi.com
Port 空のままでよい
Force SSL Administration　チェックを入れる（私の場合は、チェックがすでに入っていてグレーアウト）
Always use HTTPS while in the admin panel. This setting is identical to FORCE_SSL_ADMIN.
Force SSL Exclusively　チェックを入れる
Any page that is not secured via Force SSL or URL Filters will be redirected to HTTP.

「Save Changes」をクリック

（２）URL Filter

図ｘ：赤枠内のように「/」を入力します

Secure Filters 「/」を入力。Wordpress全体をSSL化します。

「Save Changes」をクリック

（４）動作検証

ちゃんとSSL化されているか予約システムのTMS Simple Bookingで確認してみました。

すべてhttpsでアクセスしており、正常に動作しました。

ちなみに、「お問合せ」も含めてすべてのページでSSL化が完了しました。スマホからもhttpsでアクセスできちゃんと予約出来ました。とっても安全なサイトにグレードアップしました。

次は、本サイト（志義どっとPC）をSSL化します。ただいま、COMODOのPositiveSSL（年1,200円を２年分で2,200円）を申請中です。購入はSSL-Storeに会員登録（無料）し、そこから行いました。初めて利用する方へという申請方法をていねいに書いてあるサイトもありとても簡単に申請ができました。