StartSSL で発行した証明書を更新

StartSSL から電子証明書を更新しろというメールが届いた。
以前に StartSSL で発行した電子証明書を確認すると、確かに有効期限まで後 2 週間ほどになっている。
この電子証明書は、「HTTPS を使うための電子証明書取得の前準備 (StartSSL へのユーザー登録)」を書く少し前に取得したものだ。
この記事で「Web サイトを HTTPS に対応させるため」とか書いたが、電子メール アドレスの正当性の証明書 (個人証明書) を取得しただけで、Web サイトの HTTPS 対応はほったらかしになっている気がする。

本来なら、個人証明書の更新案内と、Web サイトの正当性の証明書 (サーバー証明書) の更新案内がそれぞれの有効期限の 2 週間程度前に個別に届くらしい。
しかしながら、HTTPS 対応をほうったらかしにしている筆者の手元に届くのは、個人証明書の更新案内だけだ。

そうは言うものの、電子メールに S/MIME 署名を付けて送信するためにこの証明書を使っているため、更新せざるをえない。

StartSSL から送られてきた「StartSSL Certificate Expiration, …」という件名の更新案内メールに、「Please log into the StartSSL Control Panel at https://www.startssl.com/?app=12 and get a new certificate for this purpose.」と書かれているので、その指示通りに StartSSL Control Panel の URL である <https://www.startssl.com/?app=12> を Web ブラウザーで開く。

コントロール パネルへのログイン

StartSSL Control Panel のログイン ページが表示されるはずなので、「Authenticate」をクリックしてログインする。

StartSSL Control Panel のログインは、Web ブラウザーや OS にインストールされている個人証明書を使って認証するので、場合によってはどの個人証明書を使うのかを確認するダイアログが表示されることがあるので、適切な証明書であることを確認してログインすればいい。

一年前に StartSSL で個人証明書を取得したと別の Web ブラウザーを使っていたり、そのときの個人証明書をアンインストールした上に紛失したしまったときなどは、新規に個人証明書を取得することになる。
そのときの手順は、「HTTPS を使うための電子証明書取得の前準備 (StartSSL へのユーザー登録)」に書いたそのままだ。

メール アドレスの検証

StartSSL Control Panel にログインしたら最初に、証明の対象の正当性を検証する。
個人証明書の場合、証明の対象はメール アドレスになる。
サーバー証明書ならサーバーの FQDN が証明の対象だ。

StartSSL Control Panel の「Validations Wizzard」タブをクリックして、「Select Validation」ページを表示させる。

「Select Validation」ページの「Type」欄を「Email Address Validation」にして「Continue」をクリックする。

「Enter Email Address」ページで、「Email」欄に証明の対象にするメール アドレスを入力する。
今回は一年前に発行した個人証明書の有効期限を延長して再発行するので、更新案内が届いたメール アドレスをここに入力して「Continue」をクリックする。

「Complete Validation」ページが表示されるので Web ブラウザーをそのままにして、「Your Authentication Code, …」という件名のメールが StartSSL から届くのを待つ。
このメールは数分もしないうちに届くはずだ。

「Your Authentication Code, …」という件名のメールが届いたら、本文の「Your verification code is 」に続く英数字 (たぶん 16 文字) の羅列を控えたら、さきほどそのままにした Web ブラウザーに戻る。

Web ブラウザーは「Validations Wizzard」タブの「Complete Validation」ページを表示したままのはずなので、さきほど控えた文字列を「Varification Code」欄に入力して「Continue」をクリックする。

「Validation Success」ページが表示されたら「Finish」をクリックする。

Control Panel のトップ ページが表示され、先ほど入力したメール アドレスの正当性が検証できた。

証明書の発行

メール アドレスの正当性を検証したら、その証明書を発行する。

StartSSL Control Panel の「Certificates Wizzard」タブをクリックして、「Select Certificate Purpose」ページを表示させる。
「Select Certificate Purpose」ページの「Certificate Target」欄を「S/MIME and Authentication Certificate」にして「Continue」をクリックする。

「Generate Private Key」ページで「高強度の暗号化」を選んで「Continue」をクリックする。

「鍵を生成しています」というダイアログがポップアップ表示されほとんどすぐに閉じる。
そのまましばらく待つと「Select Email address」ページに切り替わる。

「Select Email Address」ページで、「Email」欄を先ほど検証したメール アドレスに、「Secure Hash Algorithm」欄を「SHA2 (Advanced)」にして、「Continue」をクリックする。
十数秒程度で「個人証明書がインストールされました。…」という警告ダイアログが表示される。

「OK」をクリックすると「Congratulations!」ページが表示される。

「Congratulations!」ページで「Finish」をクリックする。
以上で新しい個人証明書が発行され、使っている Web ブラウザにインストールされた。

今回もサーバー証明書を取得しないので、最後に右上のドアのアイコンをクリックして StartSSL の Control Panel からログオフしておく。

個人証明書のバックアップ

更新した個人証明書は Web ブラウザにインストールされる (IE の場合は OS の持つ証明書ストアにインストールされる)。
このため、Web ブラウザや OS を再インストールしたりすると、個人証明書が失われる。
これを避けるためには、個人証明書をファイルにバックアップしておくべきだ。
バックアップしたファイルが残っていれば、Web ブラウザや OS をサインストールしたとしても、そのファイルから個人証明書を再びインストールできる。

バックアップの方法は、以前に書いた記事 (IE の場合Firefox の場合) を参照して欲しい。

一年前に取得した個人証明書は若干有効期間が残っているが、これからは新しい証明書を使えば済むので削除して構わない。

コメントを残す