Linux全般
CSR発行が必要だった場合 [#x92d2648]
過去のCSR情報と同じだった場合、変更がないのであれば同じCSRをコピーしてSSL証明書の発行依頼を行う。
しかし、内容に変更がある場合は下記手順にてCSRを発行する。
CSR発行用の鍵が必要だった場合 [#i295d122]
# openssl genrsa -des3 -out 鍵名.key 2048 -sha256 |鍵作成(パスフレーズあり)
Enter pass phrase for www.hogehoge.com.2012.key:***** |パスフレーズ入力
Verifying - Enter pass phrase for www.hogehoge.com.2012.key:***** |パスフレーズをもう一度入力
パスフレーズを解除した鍵の作成 [#kc6965f8]
“-des3"をオプションで指定しないか、下記コマンドを実行
# openssl rsa -in www.hogehoge.com.2012.key -out www.hogehoge.com.2012.key.nopass -sha256
Enter pass phrase for www.hogehoge.com.2012.key:***** |パスフレーズ解除のために、パスフレーズを入力
# cat www.hogehoge.com.2012.key.nopass
↓この部分が無ければパスフレーズが解除されている
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,18B1609F5EFB1F3B" |パスフレーズが解除されているか確認して鍵作成完了
CSRの発行 [#o44eb436]
# openssl req -sha256 -new -key ../ssl.key/www.hogehoge.com.2012.key.nopass -out www.hogehoge.com.2012.csr |上記で作成した鍵でCSRを発行
Country Name (2 letter code) [GB]:JP |国コード入力
State or Province Name (full name) [Berkshire]:Tokyo |都道府県名
Locality Name (eg, city) [Newbury]:Shibuya-ku |市区町村名
Organization Name (eg, company) [My Company Ltd]:hoge |組織名
Organizational Unit Name (eg, section) []:hoge |部門名
Common Name (eg, your name or your server's hostname) []:www.hogehoge.com |コモンネーム
Email Address []: |未入力
A challenge password []: |未入力
An optional company name []: |未入力
cat www.hogehoge.com.2012.csr |CSRをコピーしてSSL証明書を発行する
SSL証明書の更新手続き [#k710def6]
+SSL証明書を取得したベンダー(Goddady)で、証明書の更新手続きを実施する。 +証明書更新の承認メールが送信されるので、承認を実施する。 +SSL証明書と中間証明書をダウンロードする。 +対象サーバーにSSL証明書と中間証明書をコピーする。 +ssl.confの記述を確認して、証明書の保存先を確認する。 +ssl.confのバックアップを作成する。 ※末尾にconfとつけると、confファイルと認識されてしまうためバックアップ ファイルにはつけないこと。 +コピーした証明書を、ssl.confに記述されている保存先に移動させる。 +「diff ファイルA ファイルB」にて、過去の中間証明書と新しい中間証明書の 差分を確認する。 +差分がなければ、新しい中間証明書は使用せずにそのまま保存する。 +「service httpd configtest」でconfファイルのチェックを行う。 +「configtest」で問題がないかを確認する。 +問題がなければ、「service httpd graceful」で再起動する。 +サイトにアクセスして、証明書の日付を確認する。
対象ディレクティブ [#fc61d733]
/etc/httpd/conf.d/ssl.conf
*SSL証明書
SSLCertificateFile /etc/pki/tls/certs/www.hogehoge.com.2011.crt
*中間証明書
SSLCACertificateFile /etc/pki/tls/certs/godaddy.crt