SSL証明書を取り扱っている「SSLストア」にて証明書の更新をしたのでその覚え書きです。認証局ブランドはFujiSSLを例にみていきます。
SSLストアでFujiSSLの更新作業!更新方法の覚え書き。CSRは使い回し厳禁、新しいキーペアを作ろう
「SSLストア」は株式会社ニジモが運営するSSL証明書発行サービスを提供しているサイトで、24時間365日自動発行に対応しているのですぐに証明書を発行してくれます。
当サイトarutora.comでもここでSSL証明書を購入してSSL化しました。サーバ証明書のブランドは「FujiSSL」を選びましたが、それからちょうど1年経過して更新時期になりましたので今回はSSLストアで証明書の更新手順の覚え書きをしていこうと思います。
新規にSSL証明書を購入する場合でもほぼ同じ手順となります。
SSLストアにログインして証明書を更新。デポジットにクレジットカードでチャージして決済する
まずはSSLストアにログインして、上段のメニュー部分から、
と進みます。
次に自分が今使っているブランドのタブを開いて、そこから【更新】を選択します。このarutora.comでは「FujiSSL」を使っているので、FujiSSLの1年もの(お酒みたいな言い方)を更新します。
新規に取得する場合は新規を選んでください。
カートに入れたら、【デポジットをチャージ】を押します。デポジットは「保証金」と日本語に訳されますが、SSL証明書購入時はこのデポジットから購入代金が差し引かれます。
感覚的にはウォレットのような感じですので難しいことはありませんね。
支払い方法は以前は銀行振り込みなども選べたのですが、
2017年03月16日より個人会員のお客様につきましては一律、銀行振込みによる申請(前払い・後払い)でのご入金の取り扱いを終了させていただきました。
お客様には大変ご不便をお掛けしますが、クレジットカード決済にてご利用頂けますようご案内いたします。
と表示されるので現在では個人会員はクレジットカードしか選択肢がありません。「クレジットカードで入金」を選択しましょう。
先ほど選んだ認証局ブランドの値段を入力して、クレジットカード情報を入力します。
SSLストアではクレジット決済サービスの「SPIKE」を利用していて、クレジットカード明細には、
- SPIKE*SSLストア
- スパイク エスエスエルストア
- SPIKE*SSL STORE
の名前で請求がきます。また、当然ですが通信はSSL化されており、カード情報は一切SSLストア側、SPIKE側に保存されませんので安全に利用できます。
カートをみるとデポジットの残高がチャージされていますので、ここから【レジに進む】を選択。SSL証明書の期間とブランドが表示される確認画面が出てくるので、問題なければ【購入を確定する】ボタンを押します。
これでSSL証明書の購入は完了しました。
購入したSSL証明書をアクティベート。CSRは更新時でも同じものではなくて再生成をするのが良い
メニューから、
と進んで購入したSSL証明書を確認しましょう。
購入したばかりのSSL証明書はアクティベート(有効化)されていないので、コモンネームや年数・有効期限などが空欄になっています。
SSL証明書リスト左側にある【詳細】ボタンを押すと証明書詳細が表示されて、そこに【アクティベート(申請)する】というボタンがありますのでそれを押してください。
そうすると、
- コモンネーム(ドメイン)
- 認証方式(メール認証 or ファイル認証)
- サーバの種類(webサーバの種類)
を入力・選択する画面になりますので、自分のサイトドメインやサービスにあわせて選択しましょう。私はファイル認証を選択しました。
コモンネームは後から変更ができませんので、間違いがないように注意してください。
アクティベートに使用するCSR(署名リクエスト)は更新するとき同じものでもできなくはないですが、セキュリティの観点から再生成したものを登録した方が良いと推奨されています。
また契約しているレンタルサーバなどによっては再生成必須となっていることもあるので、基本的に使いまわさないようにした方が良いでしょう。
SSLストアでも前回のCSRで申請することは可能だそうですが、稀にセキュリティチェックで引っかかると回答しているので、新しいキーペアを作成するのがベストです。
ドメイン所有者情報の項目は下記のように記入していきます。
| ドメイン所有者情報 | |
|---|---|
| 会社名 | 個人申請の場合は「NONE」 |
| お名前 | 自分の名前 |
| 役職・職位 | 個人申請の場合は「NONE」 |
| 郵便番号 | 居住地の郵便番号 |
| 所在地・お住まい | 居住地の住所(マンション名などは省略可能) |
| 電話番号 | 固定電話の番号 |
| メールアドレス | このメールアドレス宛に証明書が届く |
情報を正しく入力したら、確定して申請しましょう。確認画面とメッセージが何度か出ますから、間違いがないかどうかしっかり確認して決定してください。
認証ファイルをアップロードしてクローリングを待つ。中間CA証明書とSSL証明書をインストールしよう
先ほど所有者情報の項目で入力したメールアドレス宛にメールが来ているはずです。今回は認証方式でファイル認証を選択したので、添付ファイルとそのアップロード先が指定されていました。
ドメインの認証は2週間以内に行う必要があり、行われない場合は申請がキャンセルされます。
クローラーボットが申請したドメインの特定アドレスへクローリングを行いますので、認証ファイルのアップロードが完了したらしばらく待ちましょう。
特にFujiSSLの場合、2017年07月24日以降に申請した方はこの認証用ファイルの設置位置が異なりますので、更新されるときは注意が必要です。
https://www.fujissl.jp/info/1081/
クローリングが完了すると、中間CA証明書とSSL証明書送られてきます。
メール本文にテキストとしても記載されていますが、
- hoge.crt(SSL認証ファイル)
- ca-bundle.ca(中間CA証明書)
- README.txt
これらのファイルがメールに添付されているので、これをサーバにインストールしましょう。
SSL証明書更新完了!更新期間中にちゃんと更新すれば、早めに行っても証明書の期限は年数分追加される
更新作業が完了したら、サイトシールを確認してみます。上記はこのサイト(arutora.com)のものです。
更新前は有効期限が2018-05-07だったのですが、更新後は2018-04-29~2019-05-07 となっていますね!
SSL証明書の更新作業は私は今回が初めてだったので、有効期限前に更新したら残りの日数が減っちゃうんじゃないか?と心配していましたが、ちゃんともとの期限に1年延長される形で証明書の更新ができました。
これは最初のSSL証明書ブランドを選ぶときに、「新規」ではなく「更新」にしていないとならないようなので、選択ミスには気をつけたいところです。
SSL証明書を導入されている方は、有効期限に気をつけながら早めの証明書更新を心がけておきましょう!
コメント