年に一回のことなので、ついつい手順を忘れてしまうサーバ証明書の更新方法。来年のためにStartSSLでの更新方法を(ついでに取得方法も)メモっておこうと思います。
ちなみにStartSSLはClass1の証明書が無料で利用出来るありがたいSSLです。自分しか利用しないような管理画面をSSL化するならこれで十分じゃないかと思います。
下準備
証明書を取得する前にCSR(証明書署名要求)を作成して、サーバに置いておきます。
この手順は初回だけで、更新の際は飛ばしておkです。
サーバの秘密鍵を作成
サーバの秘密鍵 cert.key を作成します。分かりやすければファイル名は別に何でも良いです。
# openssl genrsa -sha1 2048 -out cert.key
Enter pass phrase:(任意のパスワード)
Verifying - Enter pass phrase:(任意のパスワード)
秘密鍵のパスワードを解除(オプション)
サーバを再起動する度にパスワードの入力を求められるのを回避するため、秘密鍵のパスワードを解除します。
# openssl rsa -in server.key -out server.key
Enter pass phrase for server.key:(秘密鍵のパスワード)
CSR(証明書署名要求)の作成
続いて、CSRを作成します。以下は記入例です。自分のサーバに合わせて適宜書き換えてください。
# openssl req -new -key cert.key -out cert.csr
Country Name (2 letter code) [GB]:JP (2文字の国名)
State or Province Name (full name) [Berkshire]:Niigata (都市名)
Locality Name (eg, city) [Newbury]:Nagaoka (都市名)
Organization Name (eg, company) [My Company Ltd]:icoro (組織名)
Organizational Unit Name (eg, section) []:section 9 (部署名)
Common Name (eg, your name or your server's hostname) []:www.icoro.com (サーバのFQDN)
Email Address []:info@icoro.com (メルアド)
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:(証明書を破棄する時に必要になるパスワード)
An optional company name []:(別の組織名の入力)
以上で下準備は完了です。ここまでで、cert.key、cert.csr の2つがディレクトリの中に作成されているはずです。
StartSSLで証明書を取得
StartSSLで証明書を取得する手順は以下の通りです。「Sign-up」ではなく、「Express Lane」を開くとユーザ登録からサーバ証明書の取得までシームレスに進めるみたい?
- ユーザ登録
- 「Sign-up」でユーザ登録のフォームを入力。
- 認証コード(authentication code)によるユーザ登録の確認。
- ログイン用のプライベートキーの発行。
- 証明書をブラウザにインストール。
- ドメインの登録
- 「Validations Wizard」タブで「Domain Name Validation」を選択。
- ドメイン名を入力(サブドメインは入れない)。
- 認証に使うメルアドを選択。
- 全手順で選択したメルアド宛に届く認証コードを入力。
- サーバ証明書の取得
- 「Certificates Wizard」タブで「Web Server SSL/TLS Certificate」を選択。
- CSRはすでに作ったものがあるので「skip」で次へ。
- 次の画面に出て来るテキストエリアにCSRの中身をまるごとコピペ。
- ドメインとサブドメインを設定。
- 証明書(Certificate)がテキストエリアに表示されるので、cert.crt等の名前でサーバにまるごとコピペ。
- テキストエリアの下にある「intermediate」というリンクから中間証明もダウンロードしておきます。(「Tool box」タブの「 StartCom CA Certificates」からでも確認出来ます。)
以上で取得は完了。取得した証明書と中間証明書をサーバに置いて、ウェブサーバに設定します。更新の場合はファイルを置き換えて、ウェブサーバを再起動すれば良いと思います。
参考
- StartSSL™ Certificates & Public Key Infrastructure
- icoro : CentOS5でSSLを設定する
- StartSSLで無料のサーバSSL証明書を発行してみた。 – Y型ヒキコモリ日誌
SSL/TLS実践入門──Webの安全性を支える暗号化技術の設計思想 WEB+DB PRESS plus
- メーカー:技術評論社
- カテゴリ:Kindle版
- 発売日:2024/04/25