前の手順でルート証明書をインポートしたWebブラウザを起動し、そのアドレス欄に以下の様にURLを入力してサーバーに接続し、ブラウザ画面に一切の警告が表示されずに"It works!"と表示されるかどうかを確認する。
(a) DDNSで取得したドメイン名で公開鍵とサーバー証明書を作成した場合は、その取得したドメイン名をFQDNとするURLを、ブラウザのアドレス欄に入力する。
例
https://foobar.dip.jp
(b) ルータのWAN側グローバルIPで公開鍵とサーバー証明書を作成した場合は、そのグローバルIPを直接設定したURLを、ブラウザのアドレス欄に入力する。
例
https://61.123.234.12
注意 … ドメインもしくはグローバルIPをURLに指定してのサーバアクセスについて。
上記の様に、URLにドメインもしくはグローバルIPを指定してのサーバアクセスは、それがローカルネットワークからのアクセスであっても、ルータのアドレス変換の設定が正しく行われていないと接続できないので注意。
注意 … サーバーアクセス時のURLとサーバー証明書の関係について。
ブラウザにインポートした証明書を有効に動作させる為には、ブラウザのアドレス欄に入力したURLの完全修飾ドメイン名(FQDN)部分(下記 例 のA)が、証明書(公開鍵)を作成した際に入力した"Common Name"(下記 例 の@)と一致している必要がある。
下記 例 のBの様に、証明書に設定した"Common Name"と異なるFQDN文字列をURLに指定してサーバーに接続した場合は証明書の検証に失敗してしまう(*1)ので注意する。
*1 中間者攻撃などによって、ユーザーが意図しない接続先に、悪意を持って誘導されたと判断されてしまう。
例
(A) "openssl"コマンドによる公開鍵作成時の"Common Name"(CN)の入力値
C:\〜\conf>openssl req -new -config 〜 -key server.key -out server.csr
:
Country Name (2 letter code) [AU]:JP
:
Common Name (e.g. server FQDN or YOUR name) []:foobar.dip.jp ←@
(B) ブラウザのアドレス欄の入力値
https://foobar.dip.jp ←A … ○
https://61.123.234.12 ←B … ×