akiyoko blog

akiyoko の IT技術系ブログです

GoGetSSL で SSL証明書を更新するための手順

現在運営している某サイトを SSL化していて、その SSL証明書を GoGetSSL という海外の販売所(販売代理店)で購入・申請していたのですが、最近、更新時期が近づいてきたので更新作業をしたのです。作業自体は小一時間ほどで終わったのですが、事前にあれこれ調べた時間の方が掛かったなぁ、と。更新作業自体が頻繁に発生することもないので、次に作業するときの備忘録として書き残しておきたいと思います。


《過去記事》
akiyoko.hatenablog.jp

akiyoko.hatenablog.jp



条件

  • 前回と同じドメイン認証(DV)証明書「RapidSSL」を購入
  • CSR の内容は同じ(つまり今回は再作成しない)
  • ドメインは「お名前.com」で管理している
  • サーバは Ubuntu、Nginx でドメインの設定をしている

SSL証明書の更新手順

1)Whois情報公開代行設定を解除

お名前.com の ドメインNavi にログインし、「ドメイン設定」->「ドメインWhois情報変更」から、対象のドメイン名をクリックして「登録者情報の変更」にチェックを入れると登録者情報が表示されるので、住所などの情報が正しいか確認しておきます。

f:id:akiyoko:20170612014828p:plain

次に、「Navi TOP」のドメイン一覧から、対象のドメインの「Whois情報公開代行」の「解除する」をクリックして、Whois情報公開代行の設定を解除します。

f:id:akiyoko:20170612015159p:plain


Whois情報公開代行サービスを解除したら、Whois検索で、自分で取得したドメインの Whois情報を確認しておきます。Registrant(登録者名)に自分の登録者情報が表示されていれば OKです。

Whois検索 - お名前.com




 

2)前回と同じ種類・ブランドのSSL証明書を購入

GoGetSSL にログインします。

https://my.gogetssl.com/

f:id:akiyoko:20170612015333p:plain


「Manage SSL certificate」をクリックしてSSL証明書の一覧を表示して、前回のオーダー(RapidSSL Standard)の「View」をクリックします。

f:id:akiyoko:20170612015731p:plain


「Start Renewal」をクリックします。

f:id:akiyoko:20170612015922p:plain


今回はまとめて 3年分を選択します。

f:id:akiyoko:20170612015958p:plain


PayPal で購入しました。
f:id:akiyoko:20170612020034p:plainf:id:akiyoko:20170612020156p:plain





 

3)CSRを作成(今回はしない!)

更新の度に新しいCSRを生成する必要はありますか


更新の度に新しいキーペアファイルを作成し、新しいキーペアファイルより生成した新しいCSRで申請することをお勧めします。
同じキーペアファイルを利用し続けるのではなく、サーバIDの更新の度に新たなキーペアに切り替えることがセキュリティ上も理想的です。

またMicrosoft IIS 5.0など、ウェブサーバアプリケーションによっては、前回取得時と同じCSRで取得したサーバIDでは、インストールができない仕様のものもあります。


Symantec Managed PKI for SSL サポート


ということで、セキュリティ上はアレかもしれませんが、きちんと管理できているのでそのまま前回の CSR を使い回すことにします。



 

4)CSRを申請

SSL証明書の一覧から「Generate」をクリックします。
f:id:akiyoko:20170612020252p:plain

Order Type Renewal order
Web Server Software OTHER(「Nginx」は選べなくなったようです)
Paste your CSR 前回の CSRをまるごとコピペ
Please select signature algorithm SHA2

と適宜入力して「Validate CSR」をクリックします。
f:id:akiyoko:20170612020333p:plain

「Get WHOIS email」をクリックし、送達可能なメールアドレスを選択して、「Next Step」をクリック。
f:id:akiyoko:20170612020524p:plain

氏名、メールアドレス、電話番号などを適宜入力後、「Complete Generation」をクリックします。
f:id:akiyoko:20170612020619p:plain

完了しました。証明書の一覧画面を見てみます。
f:id:akiyoko:20170612020724p:plain

まだ「Processing」になっています。
f:id:akiyoko:20170612020824p:plain


しばらくすると、メールバリデーションのための確認メールが届くので、メール中のリンクをクリックします。
f:id:akiyoko:20170629135745p:plain:w400


「承認します」をクリック。
f:id:akiyoko:20170612020931p:plain


「Active」になりました。
f:id:akiyoko:20170612021004p:plain

「Valid from」「Valid till」が更新されています。
なお、3年分更新しましたが、1ヶ月のボーナスが付いているようです。
f:id:akiyoko:20170612021157p:plain


最後に SSL証明書と中間証明書をダウンロードします。
f:id:akiyoko:20170612021302p:plain



 

5)サーバのSSL証明書を更新

以降、サーバのIPアドレスを「52.xxx.xxx.xxx」、ドメインを「akiyoko.com」、アプリ名を「akiyokoproject」として進めます。


クライアント(Mac)からサーバに SSL証明書と中間証明書を転送します。

$ scp -i ~/.ssh/aws_p1.pem ~/Downloads/www_akiyoko_com.crt ubuntu@52.xxx.xxx.xxx:/tmp/
$ scp -i ~/.ssh/aws_p1.pem ~/Downloads/www_akiyoko_com.ca-bundle ubuntu@52.xxx.xxx.xxx:/tmp/

次に、Ubuntu 上で、SSL証明書を前回のものから入れ替えます。

$ sudo cp /etc/nginx/conf/akiyokoproject.crt /etc/nginx/conf/akiyokoproject.crt.201606
$ sudo cp /etc/nginx/conf/akiyokoproject.key /etc/nginx/conf/akiyokoproject.key.201606

$ sudo cp /tmp/www_akiyoko_com.crt /etc/nginx/conf/akiyokoproject.crt
### 中間証明書を連結する
$ cat /tmp/www_akiyoko_com.ca-bundle | sudo tee -a /etc/nginx/conf/akiyokoproject.crt


CSRを新しく生成した場合は、秘密鍵(/etc/nginx/conf/akiyokoproject.key)を新しく書き換えておきます(今回は書き換えません)。


SSL証明書・秘密鍵のオーナーが root.root、パーミッションが 644 になっていることを確認。

$ ls -al /etc/nginx/conf/
total 40
drwxr-xr-x 2 root root 4096 Jun 10 20:08 .
drwxr-xr-x 6 root root 4096 Jul  8  2016 ..
-rw-r--r-- 1 root root 5070 Jun 10 20:09 akiyokoproject.crt
-rw-r--r-- 1 root root 4749 Jun 10 20:08 akiyokoproject.crt.201606
-rw-r--r-- 1 root root 1111 Jul  8  2016 akiyokoproject.crt.orig
-rw-r--r-- 1 root root 1704 Jul  8  2016 akiyokoproject.key
-rw-r--r-- 1 root root 1704 Jun 10 20:08 akiyokoproject.key.201606
-rw-r--r-- 1 root root 1704 Jul  8  2016 akiyokoproject.key.orig


Nginx をリロードします。

$ sudo service nginx reload


完了したら、SSL証明書のチェックをします。

Check SSL Installation. Test SSL now!
でチェック可能です。

「akiyoko.com」などと入力すると、診断結果が出力されます。

f:id:akiyoko:20170612021520p:plain

f:id:akiyoko:20170612021552p:plain


あるいは、
https://cryptoreport.geotrust.com/checker/views/certCheck.jsp
の方がスッキリしていていいかもしれません。


最後に忘れずに、Whois情報公開代行設定を再設定をして完了です。