ベリサイン更新作業
というか、本当は日本ベリサインのやり方を見てもらうのが一番簡単っぽいのですが。
一応、自分なりにまとめてみるのが大切なので・・せっかくだから書く事にします。
ベリサインの更新を行うには、まず申請書を書きます。
この申請書の書き方は申請する団体によって違うらしいので、HP見て下さい。(いきなりかよ)
次に必要なものは、CSRです。
これは認証局に提出する署名リクエストとの事。まぁ、
要するにサーバの情報ですね。
CSRを作るには、まず最初に openssl コマンドを使って、
秘密鍵を生成するところから始まります。
opensslコマンドは認証局を利用しないで、
独自にCAの証明書を発行する為に使われるようです。
# openssl md5 * > rand.dat
# openssl genrsa -rand rand.dat -des3 1024 > 2006key.pem
2行目のコマンドの実行時に、秘密鍵のパスフレーズの入力を求められます。
任意のパスワードを入力してください。(絶対忘れないでくださいね)
続いて、ディスティングイッシュネーム情報を入力します。
ベリサイン社が必要とする情報なので、適当に入れちゃ駄目ですよ。
もちろん、入力する内容は申請を行う団体によって違います。これで秘密鍵が作れました。
※)僕は全然知らなかったんですが、秘密鍵を作った後にパスフレーズ解除というのをした方がいいみたいですね。でないと、Apacheを起動するたびにパスを聞かれてしまう為、Apacheの自動起動が出来なくなってしまうらしいです。ちなみにセキュリティ上は、パスフレーズを解除しないほうがいいらしいですよ。(不便そうだけど)
opensslコマンドに関しては、以下のサイトを参考にしてもらえればよいかと思います。
OpenSSLコマンドの使い方
→http://ash.jp/sec/openssl_ca.htm
CSRの作り方
→http://www.verisign.co.jp/server/help/csr/capache_new.html
さて申請をしたら、認証団体の認証をへてサーバIDというものがメールで送られてくるそうです。
実はこのメールに添付されたサーバIDこそが、SSLサーバ証明書という訳です。
もう、ややこしい〜!!!
しかも、ベリサイン サーバIDというのは、種類があるらしく。
これまた、ベリサイン様のHPを見たほうが早いです。
サーバIDの概要
→http://www.verisign.co.jp/server/first/serverid.html
さて、次なるステップはいよいよサーバ証明書の設定です。
僕の関わっているサーバは、apacheとtomcatを利用したサーバですので、
ssl.conf(apacheの設定ファイル)をいじらなきゃならん訳ですよ。
ssl.conf内には、サーバ証明書(公開鍵)と秘密鍵を置く為の設定が書いてあります。
この設定を最新のものに置き換えてapacheを再起動すれば、ようやく更新の完了です。
ssl.conf内
SSLCertificateFile サーバ証明書の場所
SSLCertificateKeyFile 秘密鍵の場所
という設定をしてくださいな。
もちろん、ベリサインのHPを見たほうが早いです訳ですが(おい)
サーバIDインストール手順 (更新)
→http://www.verisign.co.jp/server/help/install/iapache_renew.html
まぁ…。実をいうと私この作業を失敗してしまいまして、
周りの方に色々と迷惑をかけてしまったのですよ。
話すとややこしいのであえて書きませんが、ちょっと自信喪失です。
ssl.confを見ないで、サーバ証明書と秘密鍵をある場所に置いたのが問題で
更新作業が数日後まで延びてしまいました。
本当、何事も調査するという事は大切ですよね。
SSLに関して、調べてみようと思ったのも問題を起こしたのがきっかけです。
失敗は成功の元とはいいますが、出来れば失敗したくないですよ、はぁ(ため息)。
追記)
ベリサイン更新時には、中間CA証明書の更新も必要です。僕が行ったサーバには最新の中間CA証明書が既にインストールされていたので問題ありませんでしたが。これが古いものを使用していた場合には問題があるそうです。この話はまた今度調べます。