SSLサーバ証明書更新(2011/12)
Category : サーバ管理日記
Published by M-naka on 2011/12/25
ドメイン更新のついででSSL証明書も更新。
引き続き引き続きRapidSSL。

約2年前に更新した、Namecheapで再更新。このときに買って放置していた購入権をアクティベートした。手続き上の違いはCSRの暗号化強度のみ(前回1024bit→今回2048bit)。

Namecheapでの通常オペレーションだと、失効30日前に「Renew」ができるようになる、となっている。つまり、一度アクティベートした購入権に更新料金を払う……という形の模様。要は「複数の購入権を持っていても、一つをもう一つの更新に流用できないように見えるということ。この「見える」というところがポイント。

Namecheapのセオリー通りだと「失効前90日〜45日で更新すると3ヶ月プラス」というボーナスが受けられない。で、手持ちの購入権をアクティベートするとこのドメインは証明書発行済みですのNoticeが出る。さてどうする?

正解はそのままぶっちぎって更新手続きをするだった。

NamecheapはRapidSSLの代理店なので、新規か更新かはあくまでRapidSSLが判断する。ぶっちぎって更新手続きを進めたところ、有効期限が27ヶ月と出た。手持ちの購入権は2年間分のものだったので、つまり3ヶ月ボーナス対象で更新できた、ということになる。これで2012年2月中旬期限だった証明書が2014年3月27日期限になった。

あとは次回に備えて購入権を買い増しておくかどうか。正直1ドル80円割れになるまでは2年前に予想が付かず、ぶっちゃけ購入権持ち越しでちょっと損をしている。願掛けのレベルだが、これ以上円高になってくれるな、ということで買っておこうかと。


-------------------------------------------
2012/01/29追記:

 いつの間にやらRapidSSLはシングルルート証明書ではなくなっていたので念のためメモ。

 SSL証明書がメールで送られてくるとき、中間証明書も一緒に届くので、これを「rapidssl.crt」等、適当な名前
で保存、サーバに格納する。最近のApacheなら/etc/pki/tls/certs、ちょっと前のApacheなら/etc/httpd/conf/ssl.crtあたり。

 で、サーバにも中間証明書の設定をする。Apacheだと/etc/httpd/conf.d/ssl.conf。
 「SSLCertificateChainFile」ディレクティブで中間証明書ファイルを指定。

 あとはApacheを再起動し、https接続でエラーが出なければOK。
 ルート→中間証明書→自分のコモンネームの証明書、が階層構造で見えるようになる。