毎年この時期,企業認証 SSL の更新作業.
グローバルサインの認証を使っていますが,乗り換え等は行わずにそのままグローバルサインで更新することにしました.
ということで,手続き.
料金は前払いを選択.請求書発行をお願いして,その金額を銀行に振り込み.振込先はジャパンネット銀行だったかな.振り込んで1時間もしないうちに確認取れましたということで,クーポンが発行されました.このクーポンを SSL 更新作業の時に入力すると料金支払いが終わったことになっているという形です.
で,グローバルサインの web から既存のキーを更新する作業を行います.
簡単な手順は下記のような感じかな.
一応,key/csr をつくり直し.特につくり直さなくても良いんだけど,何となく毎年つくり直しています.CentOS で apache + mod_ssl を使っているので,
openssl genrsa -des3 -out ./ssl.key/ssl.globalsign.com.key 2048
でパスワードを適当に入力.その後,作成した key ファイルを使って
openssl req -new -key ./ssl.key/ssl.globalsign.com.key -out ./ssl.csr/ssl.globalsign.com.csr
で csr を作成.
更新作業なので,CN/O/L/ST/C などはこれまで使っていたものと同じ設定にして web から申請.
企業認証なので,D-U-N-S Number 等に登録されている代表電話番号への電話連絡があります.が,今回はうまく電話を取れなかったので,郵便での認証をお願いしました.郵送されてくる書類の中にパスワード等が書かれているのでそれをメール,もしくは電話で連絡するという形で認証を行います.
今回は郵送されてきたパスワードをメールで連絡しましたが,すぐに確認作業が終わってメールで証明書,中間CA証明書が送られてきました.それらの crt/cer をサーバーの適当なディレクトリに置いて /etc/httpd/conf.d/ssl.conf の設定を書き直して apache を再起動.無事,あたらしい証明書に置き換えできました.
...な感じ.
もう少し詳細な手続きが知りたい方は昨年の記事を参考にしてください.
ということで,毎年,複数年契約にしようかなと思いつつ,金額をみて少し考えて1年契約にしてしまってます.
最近はわざわざグローバルサインの SSL にしなくても,Let's Encrypt などもありますが,一応,企業認証を取っておいたほうが良いかなということでグローバルサインを使って更新していますね.
ただ,使い捨てみたいな感じで利用している開発用ドメインに関しては Let's Encrypt を使っていたりします.
まぁ,SSL 認証も適材適所かなということで.
そんな感じです.
