日本ベリサイン社に送って下さいと連絡がありました。
連絡があったメールに記載の手順としては:
1.更新申請用 CSR の生成
2.ベリサインストアフロントからの登録申請
3.申請書類の送付(必要な申請のみ)
4.発行費用のご入金
と書かれていました。
Apache+OpenSSL のため更新の手順は
http://www.verisign.co.jp/ssl/help/csr/capache_renew.html
を参考に進めていき、結果として 2009key.pem と 2009csr.pem ができました。
現在の /etc/httpd/conf.d/ssl.conf の設定内容として
SSLCertificateFile /usr/local/ssl/2006cert.pem
SSLCertificateKeyFile /usr/local/ssl/2006key.pem
SSLCACertificateFile /usr/local/ssl/inca.pem
と記述していますので 2006 の部分を 2009 に変更すれば設定は反映されるはずなのですが、
上記の手順2~4を行う前にこの設定変更をしてしまうとマズイ(2009cert.pemを
正しいものと証明してくれる人が誰もいない)ような気がするのですが
いかがでしょうか?更新の経験がある方、教えてください。
SSLCertificateFile /usr/local/ssl/2006cert.pem
SSLCertificateKeyFile /usr/local/ssl/2006key.pem
SSLCACertificateFile /usr/local/ssl/inca.pem
「2006cert.pem」は、自分で生成したファイルではなく、申請が受理された後に届くファイルです。つまり、「2006cert.pem」にはベリサインの電子署名がされているので、その署名を確認することで、正しいものと判断できる、ということになります。
なので、そもそも、手続きの 2 の前に、「2009cert.pem」というファイルは無いわけですから、設定を変えてしまったら、設定を変更したら、「おい!、証明書として指定したファイルが無いぞ!」と apache に怒られると思います。
SSLCertificateFile /usr/local/ssl/2006cert.pem
SSLCertificateKeyFile /usr/local/ssl/2006key.pem
SSLCACertificateFile /usr/local/ssl/inca.pem
「2006cert.pem」は、自分で生成したファイルではなく、申請が受理された後に届くファイルです。つまり、「2006cert.pem」にはベリサインの電子署名がされているので、その署名を確認することで、正しいものと判断できる、ということになります。
なので、そもそも、手続きの 2 の前に、「2009cert.pem」というファイルは無いわけですから、設定を変えてしまったら、設定を変更したら、「おい!、証明書として指定したファイルが無いぞ!」と apache に怒られると思います。
失礼しました^^;
2006cert.pem のことを 2006csr.pem と勘違いしていたようです。。
ありがとうございます。
/etc/httpd/conf.d/ssl.conf の内容変更は証明書を発行した後に行います。
4の手順後に証明書が送られてきてそれを「2009cert.pem」として保存後
confを書き換えて、リスタートとなります。
http://www.verisign.co.jp/ssl/help/install/iapache_renew.html
ありがとうございます。4の手順まで待てばいいんですね。
アドバイス感謝です。
更新用CSR作成で、ディスティングイッシュネームを正確に一致させたでしょうか。
それがOKで、更新期限89日前を過ぎれば、新しい電子証明書が有効になります。「更新用のCSR生成の注意点」(ベリサイン公式)をご覧ください。
ありがとうございます。
そのあたりは大丈夫でした。結構色々気を使う作業で手に汗かいてやってます。。
失礼しました^^;
2006cert.pem のことを 2006csr.pem と勘違いしていたようです。。
ありがとうございます。