ドメイン更新のついででSSL証明書も更新。
引き続き引き続きRapidSSL。
約2年前に更新した、Namecheapで再更新。このときに買って放置していた購入権をアクティベートした。手続き上の違いはCSRの暗号化強度のみ(前回1024bit→今回2048bit)。
Namecheapでの通常オペレーションだと、失効30日前に「Renew」ができるようになる、となっている。つまり、一度アクティベートした購入権に更新料金を払う……という形の模様。要は
「複数の購入権を持っていても、一つをもう一つの更新に流用できないように見える」ということ。この「見える」というところがポイント。
Namecheapのセオリー通りだと「失効前90日〜45日で更新すると3ヶ月プラス」というボーナスが受けられない。で、手持ちの購入権をアクティベートすると
このドメインは証明書発行済みですのNoticeが出る。さてどうする?
正解は
そのままぶっちぎって更新手続きをするだった。
NamecheapはRapidSSLの代理店なので、新規か更新かはあくまでRapidSSLが判断する。ぶっちぎって更新手続きを進めたところ、有効期限が
27ヶ月と出た。手持ちの購入権は2年間分のものだったので、つまり3ヶ月ボーナス対象で更新できた、ということになる。これで2012年2月中旬期限だった証明書が2014年3月27日期限になった。
あとは次回に備えて購入権を買い増しておくかどうか。正直1ドル80円割れになるまでは2年前に予想が付かず、ぶっちゃけ購入権持ち越しでちょっと損をしている。願掛けのレベルだが、これ以上円高になってくれるな、ということで買っておこうかと。
-------------------------------------------
2012/01/29追記:
いつの間にやらRapidSSLはシングルルート証明書ではなくなっていたので念のためメモ。
SSL証明書がメールで送られてくるとき、中間証明書も一緒に届くので、これを「rapidssl.crt」等、適当な名前
で保存、サーバに格納する。最近のApacheなら/etc/pki/tls/certs、ちょっと前のApacheなら/etc/httpd/conf/ssl.crtあたり。
で、サーバにも中間証明書の設定をする。Apacheだと/etc/httpd/conf.d/ssl.conf。
「SSLCertificateChainFile」ディレクティブで中間証明書ファイルを指定。
あとはApacheを再起動し、https接続でエラーが出なければOK。
ルート→中間証明書→自分のコモンネームの証明書、が階層構造で見えるようになる。