以前書いた、ハッシュアルゴリズムSHA-1の証明書だと警告が出るので、SHA-2に変更しました。
ちなみに、SHA-1の読み方は、シャーワン。って、シマンテックのセミナーで、シマンテックの方が言ってました。
SHA-2(SHA256)へ変更までの流れです。
まずは無料でUPデート可能か、購入した代理店などに問合せをしましょう。
私は下記のようなメールを送りました。
COMODOとRapidSSLを利用しているのですが、COMODOさんはニュースリリースに書いてあるとおり、無料でアップグレードが可能です。
RapidSSLも私が購入した、エンジョイダイレクトさんではオプションに入っていれば無料でアップグレード可能でした。以前作成した際のCSRを送ればOKでした。
COMODOさんは、CSRいらないってニュースリリースに記載されいるのに、新しいCSRを送ってくれとのことでした。
新しいCSRを作成して、担当者に送付するとCOMODOの本社から下記のようなメールが届きます。
lease browse here and enter the following “validation code”:
hereにアクセスして、メールに記載しているvalidation codeを入力すればOKです。
1~2日後にCOMODOから、証明書と中間証明書が送られてきます。
証明書、中間証明書、新しい秘密鍵をサーバーにUPします。
秘密鍵は、新しいCSRを作成した時に一緒に生成されたものです。
指定の場所にUPして、サーバー再起動すれば完了です!
あれっ?!サーバー再起動しない!!
sslのエラーログを確認すると、秘密鍵と証明書がミスマッチ!って出てる。
もしかしてCOMODOの担当者が、以前のCSRでいいのを、新しいCSRって間違って言ったんじゃないかな??と思い、以前の秘密鍵(SHA-1の証明書を作った際のもの)をUPして、サーバー再起動したらOKでした。
結論としては、SHA-1からSHA-2(SHA256)にアップデートする際は、新しいCSRはいらない。SHA-1の証明書を作った際のCSRと秘密鍵でOK。
COMODOになんで新しいCSRを要求したのか聞いてみました。
そもそも新しいCSRを要求しといて、古いCSRで作成したのか聞いてみたら下記の回答がありました。
この度は納品しました証明書につきまして、
発行元のCSRキーに誤りがありご迷惑をおかけしまして誠に申し訳ございませんでした。
本来であれば、ご提出いただいた新しいCSRキーを元に再発行を行うべきところ、以前のCSRキーを元に発行・納品をしておりました。
あっ、やっぱりただの人的ミスだ。
古いCSRで作成できるのであれば、要求する必要すら無いでしょという問いに回答。
5年契約のSSLサーバ証明書をご利用のお客様の中には現在はご利用いただけない
古い鍵長の秘密鍵をご利用のお客様が多々いらっしゃいます。
その為、五年契約の証明書の再発行につきましてはCSRキーの再提出をお願いしている次第です。
あんまりないケースだと思うけど、COMODO利用者で、5年間契約の場合、新しいCSRが要求されます。
発行してもらった新しい証明書と、新しい秘密鍵がマッチしなかったら、古いCSRで作成されている事も疑いましょう。
そうすれば私みたいに、サーバー停止して20分間近くも焦って原因探す必要もありません。(・∀・)
もうCOMODOは使わないかも・・・。
コメント