はじめに
Digicertの企業認証(OV)証明書を取得する機会があったので覚書として残します。初心者なので実際には試行錯誤しながら実施しました。
概要
「スタンダード・サーバID」証明書をワイルドカードで取得します。証明書を付けるサーバが3台あればワイルドカードがお安くなる計算でした。今回は4台ほどあるので証明書を一つにまとめてコスト削減を狙っています。
新規に証明書を申請する
今回下記のような新しい証明書を申請します。(*.aaa.com)して、マルチドメインでサーバを一つ追加(a.b.aaa.com)して行きます。
#コモンネーム
*.aaa.com
#SANs
a.b.aaa.com
CERTCENTRALアカウントの開設
下記URLからアカウントを開設します。
https://www.digicert.com/account/signup/
対象となるサーバでCSRを生成する
対象となるサーバによりやり方は様々だと思います。ここは各サーバの担当者にお願いしました。生成した「*.csr」というファイルを受け取ります。中身はただのテキストファイルで、公開鍵の情報が書かれています。
https://knowledge.digicert.com/ja/jp/solution/SO24325.html
CERTCENTRALで申請する
CERTCENTRALのページから証明書を申請します。申請マニュアルを参考にしました。
- メニューの「証明書」→「組織」で新しい組織(通常は会社名など)を登録します。
- メニューの「ファイナンス」→「設定」で事務担当者の項目を正しく登録します。これは請求書の宛先の情報になります。
- はじめはここの設定ができておらず、「organization_name is a required parameter.」というエラーが表示されて詰まりました。サポートに電話して状況を説明したら、ここの設定が必要なことを教えてもらいました。
- メニューの「証明書の申請」→「スタンダード・サーバID」を選択します。これは申請する証明書によって選んでください。
- CSRを入力します。
- コモンネームを入力します。
- 証明書の期間を選択します。
- DCV認証方式を選択します。 (Verification Email)
- DCV Email Languageを選択します。(Japanese)
- 組織と連絡先を選択します。
- 支払情報(銀行振込)と事務担当者を入れます。
- 金額を確認して送信ボタンを押します。
- メニューの「証明書」→「オーダー」でみると今申請した証明書が「保留中」というオーダーステータスで見えます。
請求書の発行
申請が完了すると直ちに請求先メールアドレスに請求の通知メールが来ました。自分でURLにアクセスして請求書をPDFで取得する形式です。支払条件は「Net 30 EOM」、支払期限は翌月末日となっていました。
この証明書がまだ発行されていないタイミングで請求が開始されるところがすこし違和感ありました。これは発行後でよいのでは?
Digicertからの確認その1 ドメイン名の利用権確認(メールでの確認)
請求と同様、直ちにaaa.comの利用権確認としてwhoisに登録されているメールアドレスやwebmaster@aaa.comに確認のメールが来ました。DCV Email LanguageをJapaneseにしたので日本語メールです。メールに記載のあったURLに30日以内にアクセスして承認せよとの内容でした。社内のドメイン管理者の方へ事前に話を通しておいたのでスムーズに転送してもらって承認することができました。
Digicertからの確認その2 組織の存在確認(電話での確認)
申請した翌日に、会社の代表番号にDigicertから電話が来ました。申請した組織情報で帝国データバンクに登録された代表番号に確認が入るとか。代表電話を管轄する総務部に連絡が来て無事に転送してもらうことができましたが、ドメイン同様事前にお知らせ等しておいたほうが良いと思います。Digicertという社名は一般人にはそこまでなじみがないので、迷惑な営業電話と間違えられる可能性があります。
電話の内容は、上記の通り申し込みをしたことを確認されて、証明書の発行について了承するだけなので、特に準備無く対応可能でした。
証明書の発行が完了
めでたく証明書が発行されました。申請からだいたい24時間というスピード発行。メールで証明書が送られてきました。証明書の期限は発行日から365日+7日でほんの少しだけおまけつきでした。
証明書のインポート
最初のサーバへ証明書のインストールします。対象サーバの管理者(CSRを作ってくれた人)に作成した証明書を渡して依頼するのですが、その際下記3つが必要になります。
- SSLサーバ証明書:コモンネーム.crt(メールで送られてくる)
- 中間証明書:DigiCertCA.crt(メールで送られてくる)
- ルート証明書:CERTCENTRALからダウンロード
サーバ証明書 インストール手順
2台目以降のサーバへ証明書をインポートする
1台目と同様に対象となるサーバでCSRを生成してもらったうえで、このCSRを使ってCERTCENTRALで「証明書の複製を発行」していきます。コモンネームやSANs等々は基本的には変えられません。(変えた場合は最初に発行した証明書が失効する模様)
最初の申し込みと違って証明書は即時発行されます。コモンネームをワイルドカードにしたためもちろん追加料金もかかりません。しかしあくまでも最初の証明書のコピーなので、証明書の起源はオリジナルと同じ日になります。
おまけ 料金を確認してみる
CERTCENTRALというサイトから証明書を申し込みますが、このサイトで気軽に料金シミュレーションができるので有効期間1年に固定して色々料金を見てみました。
- 証明書1枚取得なら55,000JPY+税
- ワイルドカード証明書は138,400JPY+税 なので同じドメインでサーバが3つ以上ならお得になります。
- 同じ親ドメインaaa.comならマルチドメイン追加でも138,400JPY+税
- どんどんSANsが増えても大丈夫です。これはありがたや。
- ためしに全く違うドメインを追加した場合は171,400JPY+税、と普通に価格が上がっていきます。
- キャンペーンで10%OFFになったりすることもあるので、次回更新の時期が近づいてきたら要チェックです。
おわりに
- 今回コモンネームやSANsの構成はいろいろDigicertの営業さんと相談しまくった挙句この形になりました。ここまでたどり着くのに1週間ほど悩みました。
- 証明書の申請、請求、ドメインの利用確認と自動化可能な部分は完全自動化されていて、とても迅速。見習いたい。