【apache】SSL証明書の更新(再発行)

お世話になっております。富沢です。

 

本日はSSL証明書の再発行について。

このようなメールがRapidSSLから届きました(だいぶ前ですが)。

平素よりRapid-SSL.jpをご利用頂き有難う御座います
早速ですが、お客様がご利用中のSSLサーバ証明書のうち、2017年12月1日より前に発行された証明書において、2018年10月23日(安定版)以降リリースされるGoogle Chromeにおいて警告・エラーが表示されはじめます。
お客様には大変御迷惑をおかけいたしますが、以下の証明書が対象となりますので、再発行または更新、および証明書の入れ替え作業を行われるようご推奨申し上げます。

迷惑な話です。IEなどほかのブラウザからは問題なく見れるのですが、Chromeからはエラーが出ます。放置していましたが、やるしかありません。

【要件】

既にSSLを利用してhttps接続は動作しているが、SSL証明書の再発行を行いたい。

【環境】

SSL証明書:RapidSSL

OS:Centos

Webサーバ:Apache

【やること】

①CSRの作成

②SSL証明書の再発行

③新しいSSL証明書、中間証明書等のインストール

 

 

①CSRの作成

ちなみに、CSRとは「Certificate Signing Request」の略でSSLサーバ証明書発行に必要なテキストデータです。
こいつを作成しますが、既存のCSRでも大丈夫です。

私は下記より作成しました。

https://securitycenter.rapid-ssl.jp/tools/makePkeyCsr2048SHA2.php

作成する上で秘密鍵なども必要となります。

 

②SSL証明書の再発行

「RapidSSL証明書ステータス」画面から[再発行(reissue)]を押下。

①で用意したCSRをコピペして、SSL証明書の再発行を行います。

再発行すると、登録してあるメールアドレスに下記のようなファイル承認の依頼メールが届きます。

 


 

 

件名:【重要】[Rapid-SSL] ファイル承認手順について

(中略)

指定ファイル名: fileauth.txt
指定内容(PIN) : ************************
確認URL  : http(s)://*****.jp/.well-known/pki-validation/fileauth.txt

 

メールの指示に従って、fileauth.txtを書き換えましょう。

指定内容(PIN) を指定のファイルにコピペすればよいだけです(これまでのfileauth.txtは念のため退避しておきましょう)。

※documentrootディレクトリ内に.well-knownというディレクトリがあるはずです。探しましょう。

 

コピペしてしばらくすると、再度RapidSSLから下記のようなメールが届きます。


(件名)【通知】 SSL サーバ証明書発行完了のお知らせ

(中略)

SSLサーバ証明書(X.509形式)(←こいつが新しいSSL証明書)
—————————————

—–BEGIN CERTIFICATE—–
MII***************

中間証明書(INTERMEDIATE CA):(←こいつが新しい中間証明書)

—-BEGIN CERTIFICATE—–

MII***************

 

③新しいSSL証明書、中間証明書等のインストール

②で届いたメールに記載されている新しいSSL証明書、中間証明書をインストール(配置)します。

どこに置けばよいかは、ssl.confに書いてあります(/etc/httpd/conf.d/ssl.conf)。

こいつをたどると下記のような記載があるはずです。

SSLCertificateFile /***/ssl/server.crt

SSLCertificateKeyFile /***/ssl/server.key

SSLCertificateChainFile /***/ssl/inca.pem

上からSSL証明書、秘密鍵、中間証明書になります。

今回はSSL証明書、中間証明書のみ更新したので、/***/ssl/server.crt、/***/ssl/inca.pemを書き換えます(バックアップを忘れずに)。

 

書き換えたら、apacheを再起動です。

>service httpd restart

 

起動時にSSLパスワードを聞かれますので入力してください。

 

 

以上で、SSL証明書の更新は終了です。

作業時間としては1hかからないと思います。

 

以上、よろしくお願いいたします。

 

富沢

Share Button

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です