Linux全般

CSR発行が必要だった場合

過去のCSR情報と同じだった場合、変更がないのであれば同じCSRをコピーしてSSL証明書の発行依頼を行う。
しかし、内容に変更がある場合は下記手順にてCSRを発行する。

CSR発行用の鍵が必要だった場合

# openssl genrsa -des3 -out 鍵名.key 2048 -sha256	|鍵作成(パスフレーズあり)
    Enter pass phrase for www.hogehoge.com.2012.key:*****	|パスフレーズ入力
    Verifying - Enter pass phrase for www.hogehoge.com.2012.key:*****	|パスフレーズをもう一度入力

パスフレーズを解除した鍵の作成

"-des3"をオプションで指定しないか、下記コマンドを実行

# openssl rsa -in www.hogehoge.com.2012.key -out www.hogehoge.com.2012.key.nopass -sha256
Enter pass phrase for www.hogehoge.com.2012.key:*****	|パスフレーズ解除のために、パスフレーズを入力
# cat www.hogehoge.com.2012.key.nopass
↓この部分が無ければパスフレーズが解除されている

-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,18B1609F5EFB1F3B"	|パスフレーズが解除されているか確認して鍵作成完了

CSRの発行

# openssl req -sha256 -new -key ../ssl.key/www.hogehoge.com.2012.key.nopass -out www.hogehoge.com.2012.csr	|上記で作成した鍵でCSRを発行
Country Name (2 letter code) [GB]:JP	|国コード入力
State or Province Name (full name) [Berkshire]:Tokyo	|都道府県名
Locality Name (eg, city) [Newbury]:Shibuya-ku	|市区町村名
Organization Name (eg, company) [My Company Ltd]:hoge	|組織名
Organizational Unit Name (eg, section) []:hoge	|部門名
Common Name (eg, your name or your server's hostname) []:www.hogehoge.com	|コモンネーム
Email Address []:	|未入力
A challenge password []:	|未入力
An optional company name []:	|未入力
cat www.hogehoge.com.2012.csr	|CSRをコピーしてSSL証明書を発行する


SSL証明書の更新手続き

  1. SSL証明書を取得したベンダー(Goddady)で、証明書の更新手続きを実施する。
  2. 証明書更新の承認メールが送信されるので、承認を実施する。
  3. SSL証明書と中間証明書をダウンロードする。
  4. 対象サーバーにSSL証明書と中間証明書をコピーする。
  5. ssl.confの記述を確認して、証明書の保存先を確認する。
  6. ssl.confのバックアップを作成する。    ※末尾にconfとつけると、confファイルと認識されてしまうためバックアップ     ファイルにはつけないこと。
  7. コピーした証明書を、ssl.confに記述されている保存先に移動させる。
  8. 「diff ファイルA ファイルB」にて、過去の中間証明書と新しい中間証明書の 差分を確認する。
  9. 差分がなければ、新しい中間証明書は使用せずにそのまま保存する。
  10. 「service httpd configtest」でconfファイルのチェックを行う。
  11. 「configtest」で問題がないかを確認する。
  12. 問題がなければ、「service httpd graceful」で再起動する。
  13. サイトにアクセスして、証明書の日付を確認する。

対象ディレクティブ

/etc/httpd/conf.d/ssl.conf

*SSL証明書
SSLCertificateFile /etc/pki/tls/certs/www.hogehoge.com.2011.crt

*中間証明書
SSLCACertificateFile /etc/pki/tls/certs/godaddy.crt

関連

SSL証明書チェック


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2015-10-05 (月) 17:00:20 (1448d)