今回GlobalSignで管理している証明書の更新をしてみました。今回更新したのは企業認証(OV)のタイプです。
更新の順番としてはこんな感じです。
- CSRの発行
- 更新手続き
- 証明書の取得
- 証明書の更新
CSRの発行
まずは証明書を発行する際に必要となるCSRを発行します。更新の場合は以前使用したCSRを使用することもできますが、毎回作り直したほうが良いと思います。
今回はopensslを使用しました。Macの場合brewコマンドで入れることもできます。
brew install openssl
GlobalSignでは現在2048bit以上の鍵長しか受け付けないようになっているのでそれを指定して作成します。
openssl req -new -newkey rsa:2048 -nodes -keyout server.key -out server.csr
Generating a 2048 bit RSA private key
...................................................................................................+++
..................................+++
writing new private key to 'server.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) []:JP
State or Province Name (full name) []:Tokyo
Locality Name (eg, city) []:xxx
Organization Name (eg, company) []:xxx Inc.
Organizational Unit Name (eg, section) []:
Common Name (eg, fully qualified host name) []:*.example.com
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
| 項目 | 値 |
|---|---|
| Country Name | 国コード(日本はJP) |
| State or Province Name | 県名 |
| Locality Name | 都道府県名 |
| Organization Name | 組織名 |
| Organizational Unit Name | 部署名 |
| Common Name | コモンネーム |
| Email Address | メールアドレス |
今回Organizational Unit Name Organizational Unit Name Email Address パスワード は空欄で作成しました。
すべて記入するとserver.csr server.key というCSRと秘密鍵が作成されます
更新手続き
GlobalSignの管理画面にログインして、SSLマネージドサービスのタブに行きます。
証明書申し込みというリンクを押します。
するとCSR入力という画面が表示されるので、そこに先程入力した server.csr の中身をコピペします。
CSRを確認を押すと先程入力したCSRの情報が表示されているとおもうので問題なければ次へを押して最後まで進めて証明書の発行を完了させます。
証明書の取得
証明書の発行が完了すると「サーバ証明書発行のお知らせ」というようなメールが来ます。これを開くと、「◆証明書 SHA256」「◆中間CA証明書」という項目に証明書が記載されているのでそれぞれ -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- の行も含めて server.cer server.ca という名前で保存しておきます。
証明書の更新
あとは、これらの証明書をサーバーに設置します。
以下の3つのファイル(今回わかりやすいようにファイル名を決めましたが特に決まりはありません)があれば設置することができると思います。
| 名前 | 内容 |
|---|---|
| server.key | 秘密鍵 |
| server.cer | 証明書 |
| server.ca | 中間証明書 |
サーバーへの設置はいろいろな設置方法があるため割愛しますが、Nginxへの登録とCloudFrontへの登録は以前書いていたのでリンクを貼っておきます。