zuntan02のはてなブログ

備忘録的なものです

ワイルドカードSSL証明書の更新手順

SSLBOXでワイルドカードSSL証明書の更新を行ったので、手順をメモしておきます。

作業開始

SSLBOXから期限切れ予告メールが届く

SSLボックス】サーバー証明書更新[*.hogehoge.jp]のご案内(xx日前)

手順をメールより抜粋

ご利用期限の終了が迫って参りましたのでご案内いたします。
更新手続きは証明書期限日の90日前より行うことが可能です。

なお、更新料金のお支払いにはネットオウルプリペイドが必要です。

◆更新手続き方法について
1) SSLボックスにログインします。

2) ログイン後、更新を行うコモンネームの【更新申込】ボタンをクリックし、
  SSL証明書を設定されるサーバーをお選びください。

3) 更新する期間を選択し、ご利用料金のお支払いを行います。

4) 発行申請へと進み、サーバー証明書の発行手続きを行います。
  発行に伴い「CSR」が必要となりますのであらかじめご用意ください。
  ※固定IPアドレスオプションを選択された場合は不要です。

5) 認証メールが送信されますので、認証をお願いします。

6) サーバー証明書発行後、ご登録メールアドレス宛てに証明書が送信されます。
  ※SSLボックスの管理ツールからもダウンロードいただけます。

【実作業】

1)ワイルドカードSSL証明書の利用先サーバ特定

ワイルドカードSSL証明書は通常複数サーバで利用されているため、もれなく更新を行う必要があります。
※台帳等で管理されている場合でも、念のためDNSのレコードをベースに各サーバに入って確認するとよいでしょう。

2)更新用CSRの作成

現在動作している証明書の発行時CSRの中身を確認し、新しいCSRを作成するときに設定する値を確認します。
# CSRの内容を確認

openssl req -text -noout -in hogehoge.jp.2014.csr

Subject: C=JP, ST=Tokyo, L=(Locality Name), O=(Organization Name), OU(Organizational Unit Name), CN=*.(ドメイン名)/emailAddress=admin@hogehoge.jp

3)上記に沿った形でKEYおよび更新用CSRを作成します。

# 秘密鍵作成

openssl genrsa -out hogehoge.jp.2015.key 2048
chmod 400 hogehoge.jp.2015.key

# CSR(証明書要求)作成:

openssl req -new -key hogehoge.jp.2015.key -out hogehoge.jp.2015.csr -sha256

Country Name (2 letter code) [AU]:JP
State or Province Name (full name) [Some-State]:Tokyo
Locality Name (eg, city) :前回と同じもの
Organization Name (eg, company) [Internet Widgits Pty Ltd]:前回と同じもの
Organizational Unit Name (eg, section)
:前回と同じもの
Common Name (e.g. server FQDN or YOUR name) :*.hogehoge.jp
Email Address
:admin@hogehoge.jp

# 内容を確認する

openssl req -text -noout -in hogehoge.jp.2015.csr

→上記と同じであればOK.

4)作成したCSRを業者に提出し、CRTを受け取る。

SSLボックスであらかじめポイントを購入して置き、ポイントを消費する形で証明書の更新を実施します。
CSRを貼り付ける画面が出てきますので、貼り付け、内容を確認の上申請。

承認用メール「RapidSSL Wildcard Certificate Request Confirmation」が届くので、
メール内のURLをクリックし、「RapidSSL注文の確認および承認」に遷移。
内容を確認の上、[承認します]で承認する。

RapidSSL Wildcard Order: xxxxxxxx Completeというメールが届くので、下端にある
Web Server CERTIFICATE
の内容をドメイン名.crtとします。例: hogehoge.jp.2015.crt

# 内容の確認

openssl x509 -text -noout -in hogehoge.jp.2015.crt

4)Webサーバへの配置と反映

http://www.sslbox.jp/support/man/interca_geo_global.php

RapidSSL利用の場合、中間証明書については、クロスルート証明書を利用する様に推奨されています。
CAバンドルの証明書を以下から取得して配置します。

https://knowledge.rapidssl.com/support/ssl-certificate-support/index?page=content&id=AR1548RapidSSL Intermediate CAs | RapidSSL


RSA SHA-2 (under SHA-1 Root) SSL Certificates
https://knowledge.rapidssl.com/support/ssl-certificate-support/index?page=content&actp=CROSSLINK&id=SO26459
(クロスルート証明書SHA-1のと同じです)

※こちらでも取得可能です(RSA SHA-2)
https://www.geotrust.co.jp/resources/repository/intermediate.html


以下nginxの場合で記載します。
# 中間CA+クロスルート証明書を取得
→sha2版は以下でまとめて取得できます
https://knowledge.rapidssl.com/support/ssl-certificate-support/index?page=content&actp=CROSSLINK&id=SO26459
→内容をRapidSSL_CA_bundle_sha2.pem として保存

# nginxの場合
サーバー証明書+中間証明書+クロスルート証明書、のpem形式ファイルを作成します。

cat hogehoge.jp.2015.crt > hogehoge.jp.2015.pem
cat RapidSSL_CA_bundle_sha2.pem >> hogehoge.jp.2015.pem

# 内容を確認

less hogehoge.jp.2015.pem

          • BEGIN CERTIFICATE-----

サーバー証明書

          • END CERTIFICATE-----
          • BEGIN CERTIFICATE-----

中間証明書

          • END CERTIFICATE-----
          • BEGIN CERTIFICATE-----

クロスルート証明書

          • END CERTIFICATE-----

# nginxに反映

→配置先:/etc/nginx/conf.d/keys/hogehoge.jp.2015.pem の場合

server {
listen 443;
(中略)
ssl on;
ssl_certificate /etc/nginx/conf.d/keys/hogehoge.jp.2015.pem;
ssl_certificate_key /etc/nginx/conf.d/keys/hogehoge.jp.2015.key;
(中略)
}

# nginx再起動

service nginx configtest
service nginx restart

以上。

広告を非表示にする