Yukiko Okamura

新・CPSでの証明書管理 – Third Party証明書の更新

Blog Post created by Yukiko Okamura Employee on Apr 4, 2018

本記事では、新しいCPS201711月リリース)にてThird Party証明書を更新する方法を、紹介させていただきます。

1.
有効期限の60日前にCPSより自動的にCSRが発行され、証明書の「管理者の連絡先情報」に登録のメールアドレス宛に
CPSsf-no-reply@akamai.com)より自動メール[件名:Certificate Notification for コモンネーム: Renewal started]が送付されます

2. 「設定」より「Certificate Provisioning System (CPS)」をクリックし、CPSに移動します


3. 証明書のスロット番号を確認します
 コモンネームが同名または酷似している証明書におけるミス防止のため、必ずスロット番号(slot)を基準に作業を実施ください。

方法① CPSで証明書のスロット番号(slot)を確認します

方法② nslookup / digコマンドでDNSを正引きして確認します
Windows
の場合:プログラムよりコマンドプロンプト(Command Prompt)を起動しnslookupと入力します
        nslookup (common name)

 
Macの場合:アプリケーションのユーティリティよりターミナルを起動しdigと入力します
      dig (common name)


4. 検索ボックスに3.で確認したスロット番号を入力し、「処理中」タブより該当証明書を表示させます
 ③のギアアイコンをクリックし、「証明書の表示と編集」より現在の証明書の
情報を確認します。


5. 情報の変更が必要な場合は、該当セクションの「編集」をクリックして編集画面へ移動します
 情報の変更が不要な場合は7.へ進みます

 

6. 情報の修正後、更新をクリックします

 ページ最下部の「送信」ボタンをクリックすると、変更後の情報で新たなCSRが発行されます

 

7. CSRをダウンロードする表示が出ます

 「CSRのダウンロード」をクリックするか、「完了」をクリックし下記のとおりダウンロードページへ移動します。



8. CSR をダウンロードするか、クリップボードにコピーします

 

9. 認証局に8.でダウンロードしたCSRを送付しサーバ証明書を発行します
サーバ証明書を発行の上、必要に応じて中間証明書、クロスルート証明書、ルート証明書を取得します。

10. Certificate Key Matcherで、8.でダウンロードしたCSRと9.で取得したサーバ証明書がマッチするかを確認します
 Certificate Key Matcher:https://www.sslshopper.com/certificate-key-matcher.html 

11. 発行された証明書をCertificate Decoderにかけ、正しくチェーンしているかを確認します

 Certificate Decoder: https://www.sslshopper.com/certificate-decoder.html 

サーバ証明書のIssuer(発行者)は、中間証明書のコモンネーム:コモンネーム②です。
中間証明書のIssuerは、クロスルート証明書のコモンネーム:コモンネーム③です。
クロスルート証明書のIssuerは、ルート証明書のコモンネーム:コモンネーム④です。
チェーンが正しく繋がっていない場合は、各証明書が正しいものかご確認ください。

 

12. SSL Checkerで「e(スロット番号).b.akamaiedge.net」と入力し、現行の証明書のチェーンを表示させます
 SSL Checker:https://cryptoreport.websecurity.symantec.com/checker/
11.でCertificate Decoderに表示させたサーバ証明書情報と比較し、相違がないか確認します。
 コモンネーム、SAN、会社名、部署名、住の記載を照合
※CPS内の登録情報に変更を加えCSRを再発行した場合、現行の証明書と新たに発行した証明書の内容は異なります。
11.でCertificate Decoderに表示させた信頼チェーンとSSL Checkerの信頼チェーンを比較し、相違がないか確認します。
証明書の用途や認証局が提供する信頼チェーンの変更により、署名アルゴリズムが現行の証明書から変更となる場合は、新しい証明書の署名アルゴリズムがお客様の意図・想定通りかご確認ください。


「表示されている構成」=「現在CPSにアップロードされている証明書」ですので、こちらのツールで中間証明書、クロスルート証明書、ルート証明書の展開が確認され今後も必要がある場合、同様に展開します。
誤って不要な証明書をアップロードしないようご注意ください。

(※)ルート証明書はRoot Certificateと表示されます。ルート証明書はコモンネームとIssuer(発行者)が同一ですので、他の証明書と判別できます。

 

13. 「証明書と信頼チェーンのアップロード」よりアップロード画面へ移動します

 

14. 取得したサーバ証明書を下段の枠内にコピー&ペーストします
 PEMファイルをアップロードする場合は上段の点線枠内にドラッグ&ドロップ、または参照よりアップロードします。

 

15. 取得した中間証明書/クロスルート証明書を下段の枠内にコピー&ペーストします
 PEMファイルをアップロードする場合は上段の点線枠内にドラッグ&ドロップ、または参照よりアップロードします。
 ※アップロード前に、ルート証明書へ正しくチェーンできることを必ずご確認ください。
  尚、プライベート認証局で発行した証明書をご利用の場合はルート証明書をアップロードします。

 「確認して追加」をクリックし証明書をアップロードします。

 

16. アップロードした証明書についてCPSより警告が出た場合、「処理中」タブの「To Do」が青く表示されます
 証明書の「管理者の連絡先情報」に登録のメールアドレス宛にCPSsf-no-reply@akamai.com)より自動メール
[件名:Certificate Notification for コモンネーム: Warning messages for your certificate]が送付されます。
警告はCSRと証明書の差異です。To Do」より警告内容を確認し、問題がない内容(大文字小文字の違いやスペース、カンマの有無)であれば「OK」をクリックし警告を承認します

 

17.「展開前に常にステージングでテストする」が「はい」になっている場合、証明書はステージングへのみ展開されますので、証明書をプロダクションに展開する必要があります
 「展開前に常にステージングでテストする」が「いいえ」になっている場合、18.へ進みます
 ※有効期限の7日前になっても作業が実施されない場合、自動的にプロダクションネットワークに展開されますので
ご注意ください。
 「To Do」より「この証明書の保留中の変更を確認する」をクリックし次のステップへ進みます。

 

18. ステージングに展開されている現在の「証明書情報」と「展開情報」を確認し、相違や修正点がある場合は「変更の拒否」をクリックします
 ※変更の拒否をすると発行された証明書は展開されず、再度更新プロセスが開始し新しいCSRが発行されます。

  現行の証明書の有効期限切れにご注意ください。
 「証明書情報」と「展開情報」の内容に相違や修正点が無い場合は「プロダクションに展開」をクリックします。

 

19. CPSにて証明書の展開が開始され、プロダクションへの展開が完了すると証明書の「管理者の連絡先情報」に登録のメールアドレス宛にCPSsf-no-reply@akamai.com)より自動メール[件名:Certificate Notification for コモンネーム:Successfully deployed! ]が送付されます

 更新が完了すると対象の証明書情報の表示が「処理中」タブから消え、「アクティブ」タブのプロダクションネットワーク欄に更新後の証明書有効期限が表示されます。

Outcomes