サーバー証明書の更新

閲覧数: 13(0)

SSL化から早いものでもう一年経った(前回の記事はこちら)。サーバー証明書の有効期限がそろそろ切れるよ、という通知メールが届いたので、期限まで2週間あるけどこの際、更新してしまいましょう。利用するのは去年と同じ、StartSSLのFreeのやつです。更新してわかったけど、今度は有効期限が3年になった。3年後に手順を覚えているといいんだがw

StartSSLのCertificationを入手するには、まず使用するパソコンに個人証明書を入れる必要がある。Validation WizardタブのEmail Validationを選ぶ。下の画像では、2番目のラジオボタンが該当する。

使用するパソコンで開けるメールアドレスを使ってValidationコードを入手し、次にCertification WizardタブでClient Certificatesを実行する。正常に完了すると、パソコンに個人証明書をダウンロードすることが出来る。この個人証明書はバックアップすることが推奨されているので、どこかにバックアップしておく。紛失した場合は、再発行か、再認証を行うことになる。使うのは、下の画像では右端のFor Free Userのカラム。

使用するパソコンに個人証明書を入れたら、次にDomain Validationを行う。先ほどと同じ、Validation Wizardタブから、今度はDomain Validationを選んで、使用するドメイン(例えば、arigato.esであり、FQDNではない)のValidationコードを入手する。その際の送り先は、postmaster@arigato.esとかwebmaster@arigato.esなどのように、StartSSLが指定するアドレスにメールが届かなければならない。受信したメールは転送されても構わない。ここでValidateされたドメインは30日間有効なので、その期間内にCertificateを取るのが基本的な行動となる。

次に、Certification WizardタブでSSL Certificateを選んで、先ほどValidateされたドメインに対するサーバー証明書を発行する。その際のKEYとCSRの発行は、サーバー上のコンソールで指定されたコマンドを実行することで行うと便利である。

openssl req -newkey rsa:2048 -keyout yourname.key -out yourname.csr 

コンソール上で無事CSRが生成されたら、エディタ等で開いてコピーし、Certification Wizardにペーストする。更新なので、サーバー証明書はここですぐに発行される。hereリンクを辿って、サーバー証明書がバンドルされたZIPファイルをダウンロードする。使用しているHTTPサーバー用のファイルを解凍してサーバーへアップロードし、設定ファイルを新しいサーバー証明書を使用するように書き換えて、HTTPサーバーを再起動すれば更新は終了のはず。

設定例:Apacheの場合
このサーバーの場合、中間証明書の順番がAndroid系のChromeには影響を与えるようだ。root_bundleを先に読ませると、Chromeがエラーを返すことがあるので、順番を最後にした。この辺はちょっと勉強不足かも。

#今回取得したサーバー証明書
SSLCertificateFile /etc/ssl/certs/server.crt

#取得する時にサーバー上で作成したプライベートキー
SSLCertificateKeyFile /etc/ssl/certs/server.key

#StartSSLからダウンロードしたSHA1用中間証明書
SSLCertificateChainFile /etc/ssl/certs/sub.class1.server.ca.pem

#StartSSLからダウンロードしたSHA2用中間証明書
SSLCertificateChainFile /etc/ssl/certs/sub.class1.server.sha2.ca.crt

#今回取得したサーバー用の中間証明書
SSLCertificateChainFile /etc/ssl/certs/1_root_bundle.crt

#SHA1用ルート証明書
SSLCACertificateFile /etc/ssl/certs/ca.pem

#SHA2用ルート証明書
SSLCACertificateFile /etc/ssl/certs/ca.crt

今回も、SSLチェックサイトで無事「A」ランクをいただきました。

【最終更新日: 2017年10月9日】
カテゴリーIT閑話, 公開タグ
超高速WEBサイト?
blank
2018年7月28日

NGINXとHHVMを使った超高速WEBサイトを目指して新しいインスタンスを立てた今回の「引越」でし  続きを読む

暗号化通信の設定
blank
2017年10月12日

過去のSSL関連の記事「SSL化完了」や「証明書の更新」では「StartSSL」の導入・設定の話を、  続きを読む

Nessus: Vulnerabilitiy Scanner
blank
2017年10月5日

このサイトは商用のブログサービスを利用せず自前のサーバー(AWS上のEC2インスタンス)にWordp  続きを読む

Let’s EncryptをAmazon Linuxで使う
blank
2017年4月27日

普通のLinuxディストリビューションであれば公式のリポジトリからLet's Encrypt(LE)  続きを読む

StartSSL証明書が無効に!
blank
2017年4月27日

AndroidベースOS上のChromからArigato.esに接続すると「この接続ではプライバシー  続きを読む

SSL化完了
blank
2015年10月23日

最近は、個人のブログ(サーバー)でもSSL(Secure Sockets Layer)化するのが流行  続きを読む

スポンサーリンク

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください