SSL 証明書が５年間で5000円の時代

３年前に取得した^*1 RapidSSL の証明書の有効期限が月末で切れてしまうので更新することにしました。

† ３年前よりもさらに安く

SSL 証明書の更新自体はこれまで何度も仕事でやっているので、特に難しくもなんともない作業ですが、プライベートサーバの更新作業というのは初めてです。前回の購入時は３年で8000円ちょいという価格でしたが、改めて業者を探してみるといまや有効期限5年で5000円ちょいの業者を見つけてしまったので安さに釣られて代理店を切り換え^*2ました。ちょっと前は個人用のサーバはオレオレ証明書でもいいかなと思っていましたが、この価格帯になってくると断然買うメリットの方が大きいですね。

代理店を変えたので申込時には新規で申し込んで進めていたのですが、最終的に情報が RapidSSL に到達することには変わりないので RapidSSL 側で勝手に更新手続きに切り換えられており、早期更新サービスが適用対象にされていました。

† ３年前よりも鍵長は長く

最近の鍵長は 2048bit が標準になっているようなので、鍵を生成するときのパラメーターで2048を指定する必要があります。

openssl genrsa 2048 > server.key

† やっぱりマニュアルを作っておかないと厳しい

作業に当たって困ったのは、プライベートのサーバということでドキュメントがなく、サーバ内のどのサービスが証明書を使っているのかが良くわからないということでした。とりあえず netstat -nlp とやって、開いているポートからサービスを逆算して１つずつ各個撃破するというやり方になってしまいました。今回は Apache2 (HTTPS) , dovecot (imaps), qmail (smtps, pops), proftpd (ftps) の設定を変更したのでひとまず問題ないと思います。

• ^*1: RapidSSLの証明書をとった
• ^*2: 今回使ったところは「ディファイン」というところ。サイトの造りがちょっと怪しい感じがしますが、PayPal による決済から、証明書発行まではスムーズで特に問題はありませんでした。