SSLBOXでワイルドカードSSL証明書の更新を行ったので、手順をメモしておきます。
作業開始
SSLBOXから期限切れ予告メールが届く
【SSLボックス】サーバー証明書更新[*.hogehoge.jp]のご案内(xx日前)
手順をメールより抜粋
ご利用期限の終了が迫って参りましたのでご案内いたします。
更新手続きは証明書期限日の90日前より行うことが可能です。なお、更新料金のお支払いにはネットオウルプリペイドが必要です。
◆更新手続き方法について
1) SSLボックスにログインします。2) ログイン後、更新を行うコモンネームの【更新申込】ボタンをクリックし、
SSL証明書を設定されるサーバーをお選びください。3) 更新する期間を選択し、ご利用料金のお支払いを行います。
4) 発行申請へと進み、サーバー証明書の発行手続きを行います。
発行に伴い「CSR」が必要となりますのであらかじめご用意ください。
※固定IPアドレスオプションを選択された場合は不要です。5) 認証メールが送信されますので、認証をお願いします。
6) サーバー証明書発行後、ご登録メールアドレス宛てに証明書が送信されます。
※SSLボックスの管理ツールからもダウンロードいただけます。
【実作業】
1)ワイルドカードSSL証明書の利用先サーバ特定
ワイルドカードSSL証明書は通常複数サーバで利用されているため、もれなく更新を行う必要があります。
※台帳等で管理されている場合でも、念のためDNSのレコードをベースに各サーバに入って確認するとよいでしょう。
2)更新用CSRの作成
現在動作している証明書の発行時CSRの中身を確認し、新しいCSRを作成するときに設定する値を確認します。
# CSRの内容を確認
openssl req -text -noout -in hogehoge.jp.2014.csr
Subject: C=JP, ST=Tokyo, L=(Locality Name), O=(Organization Name), OU(Organizational Unit Name), CN=*.(ドメイン名)/emailAddress=admin@hogehoge.jp
3)上記に沿った形でKEYおよび更新用CSRを作成します。
# 秘密鍵作成
openssl genrsa -out hogehoge.jp.2015.key 2048
chmod 400 hogehoge.jp.2015.key
# CSR(証明書要求)作成:
openssl req -new -key hogehoge.jp.2015.key -out hogehoge.jp.2015.csr -sha256
Country Name (2 letter code) [AU]:JP
State or Province Name (full name) [Some-State]:Tokyo
Locality Name (eg, city) :前回と同じもの
Organization Name (eg, company) [Internet Widgits Pty Ltd]:前回と同じもの
Organizational Unit Name (eg, section) :前回と同じもの
Common Name (e.g. server FQDN or YOUR name) :*.hogehoge.jp
Email Address :admin@hogehoge.jp
# 内容を確認する
openssl req -text -noout -in hogehoge.jp.2015.csr
→上記と同じであればOK.
4)作成したCSRを業者に提出し、CRTを受け取る。
SSLボックスであらかじめポイントを購入して置き、ポイントを消費する形で証明書の更新を実施します。
CSRを貼り付ける画面が出てきますので、貼り付け、内容を確認の上申請。
承認用メール「RapidSSL Wildcard Certificate Request Confirmation」が届くので、
メール内のURLをクリックし、「RapidSSL注文の確認および承認」に遷移。
内容を確認の上、[承認します]で承認する。
→ RapidSSL Wildcard Order: xxxxxxxx Completeというメールが届くので、下端にある
Web Server CERTIFICATE
の内容をドメイン名.crtとします。例: hogehoge.jp.2015.crt
# 内容の確認
openssl x509 -text -noout -in hogehoge.jp.2015.crt
4)Webサーバへの配置と反映
http://www.sslbox.jp/support/man/interca_geo_global.php
RapidSSL利用の場合、中間証明書については、クロスルート証明書を利用する様に推奨されています。
CAバンドルの証明書を以下から取得して配置します。
https://knowledge.rapidssl.com/support/ssl-certificate-support/index?page=content&id=AR1548RapidSSL Intermediate CAs | RapidSSL
→RSA SHA-2 (under SHA-1 Root) SSL Certificates
https://knowledge.rapidssl.com/support/ssl-certificate-support/index?page=content&actp=CROSSLINK&id=SO26459
(クロスルート証明書はSHA-1のと同じです)
※こちらでも取得可能です(RSA SHA-2)
https://www.geotrust.co.jp/resources/repository/intermediate.html
以下nginxの場合で記載します。
# 中間CA+クロスルート証明書を取得
→sha2版は以下でまとめて取得できます
https://knowledge.rapidssl.com/support/ssl-certificate-support/index?page=content&actp=CROSSLINK&id=SO26459
→内容をRapidSSL_CA_bundle_sha2.pem として保存
# nginxの場合
サーバー証明書+中間証明書+クロスルート証明書、のpem形式ファイルを作成します。
cat hogehoge.jp.2015.crt > hogehoge.jp.2015.pem
cat RapidSSL_CA_bundle_sha2.pem >> hogehoge.jp.2015.pem
# 内容を確認
less hogehoge.jp.2015.pem
- BEGIN CERTIFICATE-----
- END CERTIFICATE-----
- BEGIN CERTIFICATE-----
中間証明書
- END CERTIFICATE-----
- BEGIN CERTIFICATE-----
クロスルート証明書
- END CERTIFICATE-----
# nginxに反映
→配置先:/etc/nginx/conf.d/keys/hogehoge.jp.2015.pem の場合
server {
listen 443;
(中略)
ssl on;
ssl_certificate /etc/nginx/conf.d/keys/hogehoge.jp.2015.pem;
ssl_certificate_key /etc/nginx/conf.d/keys/hogehoge.jp.2015.key;
(中略)
}
# nginx再起動
service nginx configtest
service nginx restart
以上。
