Verisign の期限(1年)がもうすぐ切れてしまうため、CSR をもう一度生成し

日本ベリサイン社に送って下さいと連絡がありました。
連絡があったメールに記載の手順としては:
 1.更新申請用 CSR の生成
 2.ベリサインストアフロントからの登録申請
 3.申請書類の送付(必要な申請のみ)
 4.発行費用のご入金
と書かれていました。

Apache+OpenSSL のため更新の手順は
http://www.verisign.co.jp/ssl/help/csr/capache_renew.html
を参考に進めていき、結果として 2009key.pem と 2009csr.pem ができました。

現在の /etc/httpd/conf.d/ssl.conf の設定内容として

SSLCertificateFile /usr/local/ssl/2006cert.pem
SSLCertificateKeyFile /usr/local/ssl/2006key.pem
SSLCACertificateFile /usr/local/ssl/inca.pem

と記述していますので 2006 の部分を 2009 に変更すれば設定は反映されるはずなのですが、

上記の手順2~4を行う前にこの設定変更をしてしまうとマズイ(2009cert.pemを
正しいものと証明してくれる人が誰もいない)ような気がするのですが
いかがでしょうか?更新の経験がある方、教えてください。

回答の条件
  • URL必須
  • 1人2回まで
  • 登録:
  • 終了:2009/06/01 00:57:05
※ 有料アンケート・ポイント付き質問機能は2023年2月28日に終了しました。

ベストアンサー

id:JULY No.1

回答回数966ベストアンサー獲得回数247

ポイント42pt

SSLCertificateFile /usr/local/ssl/2006cert.pem

SSLCertificateKeyFile /usr/local/ssl/2006key.pem

SSLCACertificateFile /usr/local/ssl/inca.pem

「2006cert.pem」は、自分で生成したファイルではなく、申請が受理された後に届くファイルです。つまり、「2006cert.pem」にはベリサインの電子署名がされているので、その署名を確認することで、正しいものと判断できる、ということになります。

なので、そもそも、手続きの 2 の前に、「2009cert.pem」というファイルは無いわけですから、設定を変えてしまったら、設定を変更したら、「おい!、証明書として指定したファイルが無いぞ!」と apache に怒られると思います。

ベリサイン サーバID ヘルプデスク - サーバID インストール手順

id:snaa1d_1

失礼しました^^;

2006cert.pem のことを 2006csr.pem と勘違いしていたようです。。

ありがとうございます。

2009/05/26 18:31:05

その他の回答2件)

id:JULY No.1

回答回数966ベストアンサー獲得回数247ここでベストアンサー

ポイント42pt

SSLCertificateFile /usr/local/ssl/2006cert.pem

SSLCertificateKeyFile /usr/local/ssl/2006key.pem

SSLCACertificateFile /usr/local/ssl/inca.pem

「2006cert.pem」は、自分で生成したファイルではなく、申請が受理された後に届くファイルです。つまり、「2006cert.pem」にはベリサインの電子署名がされているので、その署名を確認することで、正しいものと判断できる、ということになります。

なので、そもそも、手続きの 2 の前に、「2009cert.pem」というファイルは無いわけですから、設定を変えてしまったら、設定を変更したら、「おい!、証明書として指定したファイルが無いぞ!」と apache に怒られると思います。

ベリサイン サーバID ヘルプデスク - サーバID インストール手順

id:snaa1d_1

失礼しました^^;

2006cert.pem のことを 2006csr.pem と勘違いしていたようです。。

ありがとうございます。

2009/05/26 18:31:05
id:beli No.2

回答回数20ベストアンサー獲得回数0

ポイント42pt

/etc/httpd/conf.d/ssl.conf の内容変更は証明書を発行した後に行います。

4の手順後に証明書が送られてきてそれを「2009cert.pem」として保存後

confを書き換えて、リスタートとなります。

http://www.verisign.co.jp/ssl/help/install/iapache_renew.html

id:snaa1d_1

ありがとうございます。4の手順まで待てばいいんですね。

アドバイス感謝です。

2009/05/26 18:31:25
id:pahoo No.3

回答回数5960ベストアンサー獲得回数633

ポイント42pt

更新用CSR作成で、ディスティングイッシュネームを正確に一致させたでしょうか。

それがOKで、更新期限89日前を過ぎれば、新しい電子証明書が有効になります。「更新用のCSR生成の注意点」(ベリサイン公式)をご覧ください。

id:snaa1d_1

ありがとうございます。

そのあたりは大丈夫でした。結構色々気を使う作業で手に汗かいてやってます。。

2009/05/29 00:09:16

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

回答リクエストを送信したユーザーはいません