SSL更新の流れ
2012/11/01
SSLの更新処理に関係のあるファイル
- サーバ証明書(SSLサーバ証明書)
- 秘密鍵
- 中間証明書(中間CA証明書)
- ルート証明書
- SSL設定ファイル
SSL設定ファイル(/etc/httpd/conf.d/ssl.conf)内に各Pathの指定がある。
- SSLCertificateFile – サーバ証明書(SSLサーバ証明書)
- SSLCertificateKeyFile – 秘密鍵
- SSLCertificateChainFile – 中間証明書(中間CA証明書)
- SSLCACertificatePath – ?
- SSLCACertificateFile – ルート証明書(場合によってはコメントアウトされている)
SSLの更新手順
関係のあるファイルたちを確認。
「/etc/httpd/conf.d/ssl.conf」にある下記設定の内容確認。
* サーバ証明書 – SSLCertificateFile
* 秘密鍵 – SSLCertificateKeyFile
* 中間証明書 – SSLCertificateChainFile
* ルート証明書 – SSLCACertificateFile
秘密鍵がなければ作成(2048bit鍵)
秘密鍵があっても作り直すなら作成。
# openssl genrsa -des3 -out -rand rand.dat 2048
2048bit鍵は約1679byte – 25行程度 パス付は1751byte程。
1024bit鍵もアリらしいけど、セキュリティ的な問題どうかは知らないけどNGってとこもある。
※SSLの発行会社に確認。
CSRファイル(拡張子は「.csr」)を作成
※SSLの発行会社に送るため。
# openssl req -new -key -out
SSLの発行会社にCSRファイルの中身と会社情報とかを送る
入金して、「入金したよメール」を送信して、「入金確認したよ」というようなメールを待つ。
その後、何かしらの方法で「証明書」を手に入れる
メールで送ってくれたり、サイトからダウンロードしたりSSLの発行会社によって異なると思われる。
証明書からサーバ証明書(SSLサーバ証明書)、中間証明書(中間CA証明書)を作成する
apatchの再起動。
まとめ(wiki)
https://tips.recatnap.info/wiki/SSL%E6%9B%B4%E6%96%B0%E3%81%AE%E6%B5%81%E3%82%8C