EPPシステム証明書差し替え(レジストリとレジストラのSSL接続)

 レジストリのVerisignとの接続に使っているSSL証明書を更新しました。
EV認証というタイプが要求されています。
SSLのEV認証は、企業の実在確認を行うもので、電話や来訪により、事務所の所在を確認しているそうです。
年に一度、SSLの証明書は更新のため、今年も更新を行いました。

epp1.ultra-domain.jpでhelloコマンドが通らない
 技術チームより、新しい証明書で「helloコマンド」が通らないと、連絡がありました。
数年前もあったような・・・
Verisignに代理で問い合わせると、証明書の結合の仕方がに問題があったようです。

具体的には、下記コマンドで、SSL証明書の生成を指示しました。

openssl pkcs12 -inkey epp1.ultra-domain.jp.key -in epp1.ultra-domain.jp.chainedbyroot.crt -export -out epp1.ultra-domain.jp.chainedbyroot.pair.pkcs12

EPPシステム接続用SSL証明書「epp1.ultra-domain.jp」

epp1.ultra-domain.jpの証明書
 デジサート(Verisign系列)の証明書を使っています。

EPPシステム接続用SSL証明書のCSR「epp1.ultra-domain.jp」

epp1.ultra-domain.jpの証明書CSR確認
 EPPシステムに接続するSSL証明書のCSRです。
CSRとは、「Certificate Signing Request」の頭文字です。
認証局に証明書発行を要求する際に、依頼者情報を公開鍵と秘密鍵の保有を示す情報として、登録します。
PC上やLinux上の「opensslコマンド」などで、容易に発行できます。

EPPシステム接続用SSL証明書の紐づけ、認証局から辿る「epp1.ultra-domain.jp」

epp1.ultra-domain.jp認証局から辿る
 認証局からの証明書情報を結合しました。
SSL証明書に

ルート認証局(デジサート)>認証局(デジサート)>SSL証明書「epp1.ultra-domain.jp」

の順番で、署名情報(証明書情報)が辿れるようになっています。
そのため、「epp1.ultra-domain.jp」という証明書の存在は、デジサートという認証局が確かに存在する事を証明しています。

なお、ルート認証局は、お手持ちのデバイス(パソコン、携帯電話、スマートフォン)にプリセットされています。
デバイス上で信用しているルート認証局から、紐づく認証局、SSL証明書ではないと、偽物の証明書として、ブラウザなどで警告が出ます。
EPPシステムでは、Verisignなどのレジストリに接続できないと言う事になります。

XML通信が通る

epp1.ultra-domain.jpでXML通信が通る
 SSL証明書を使って、VerisignのEPPサーバーに、XML通信が通りました。
SSL証明書が確かにルート認証局、認証局(CA)より発行された物である事が、確認できたと言う事です。

EPPシステムで「Helloコマンド」が通る

epp1.ultra-domain.jpでhelloコマンドが通る
 SSL通信、証明書を使って、無事にVerisignのEPPシステム、EPPサーバーに接続ができ、「Helloコマンド」が通りました。
接続が出来ましたので、ドメインの登録やネームサーバーの変更は、各種コマンドで、実施できます。

更新履歴

第1稿投稿 2023年6月18日 19時00分(序盤の見出しと記事コンテンツアップ)
第2稿更新 2023年8月6日 12時00分(残りの見出しと記事コンテンツアップ)