SSLの再取得依頼

1,049 ビュー

やっとSSLの再取得依頼がさくらインターネットより来ました。

Symantecの証明書が信用できなくなる件

平素よりさくらインターネットに格別のご愛顧を賜り、誠にありがとうございます。

さて、以前弊社にてご購入いただきましたコモンネームのSSL証明書について、発行
元より下記ブラウザにて証明書の警告が表示され、サイトの閲覧に支障をきたす
恐れがある旨、連絡がございましたため再発行手続きをお願いしたくご案内申し上
げます。

[fiveworks.jp]

発行元
・デジサート・ジャパン合同会社(旧合同会社シマンテックウェブサイトセキュリ
ティ)
・デジサート・ジャパン・セキュリティ合同会社(旧日本ジオトラスト株式会社)

対象ブラウザ
・Google Chrome
・Firefox

対応期日までに再発行手続きを行われない場合、お客様のホームページ閲覧時に
証明書の警告が表示される恐れがございます。
つきましては、お手数をおかけすることまた、急なご案内となりましたことをお詫
びするとともに、長文となりますが下記をご確認のうえ、お早目のお手続きをお願
いいたします。

<記>

■再発行手続きが必要なSSLサーバ証明書
——————————————————–
★サーバ証明書種別:SSL ラピッドSSL(3年)
サービスコード  :xxxxxxxxxxxxxxxx
コモンネーム    :fiveworks.jp
証明書有効期限  :2019/9/10
——————————————————–

■再発行費用
————-
無料
————-
※有効期間は再発行前の証明書と同じとなります。

■対応期日
————-
2018年9月12日(水)
————-
※期日までに、以下「■対応方法」の手順にて証明書の再発行のご対応をお願い
いたします。

~以下省略~


さて、さっそく指定のアドレスよりログインし再発行ボタンをポチっとします。


よく確認して再発行。


ステータスが発行手続中となりました。
しばらく時間がかかるようです。
と、しばらく待つこと20分ぐらいでメールが来ました。

さくらインターネット株式会社

SSLサーバ証明書 認証ファイルのアップロードについて

この度は、さくらインターネットのサービスをお申込みいただき誠にありがとう
ございます。

お申込みいただきましたSSLサーバ証明書の申請が完了いたしましたので、お知
らせいたします。

================================================================
《 SSLサーバ証明書の情報 》

サーバ証明書種別:SSL ラピッドSSL(3年)
サービスコード  :xxxxxxxxxx
コモンネーム    :fiveworks.jp
================================================================

引き続き、認証局より申請いただいたドメインの使用権の確認がございますので、
以下の手順をご確認の上、認証ファイルのアップロードをお願いいたします。

認証ファイルは、30日以内にアップロードください。


ということで早速さくらの会員メニューの契約サービス一覧よりサーバー証明書を取得します。


認証ファイルをダウンロードを押すとダウンロードができます。
そしてダウンロードしたファイルをあらかじめメールで指定された配置場所にアップロードします。
認証局が確認しに来ますのでアップロードしたら一応アクセスできるか確認しておきましょう。


と、設置から約30分後にSSLサーバ証明書発行のお知らせのメールが到着し証明書再発行がされました。
ステータスも確認すると再発行不要となっています。
不要なので先ほど配置したファイルはディレクトリごと削除しておきましょう。


ここで終わりではありません!
さくらの会員メニューの契約サービス一覧よりサーバー証明書のところが「認証ファイルDL」から「サーバ証明書DL」に代わっているので忘れずに取得しましょう。

最後にサーバー側への適用です。
まずは環境等々メモ。いろいろ古いのが最近の悩み。

  • CentOS release 6.4 (Final)
  • openssl-1.0.1e-16.el6_5.4.x86_64
  • Server version: Apache/2.2.15 (Unix)

まず秘密鍵を作る。パスワードありなしはお好みで。

  1. パスワードなしバージョン
    openssl genrsa -out fiveworksjp.2018.key 2048
  2. パスワードありバージョン
    openssl genrsa -des3 -out fiveworksjp.2018_withpass.key 2048

CSR作成。上記で作成したKeyのどちらかを引数にする。
必要に応じてパスワードを入力。
すると、いろいろ聞かれるので必要に応じて入力する。

  1. openssl req -new -key fiveworksjp.2018_withpass.key -out fiveworksjp.2018.csr

中間証明書の取得

  1. ジオトラスト ラピッドSSL

サーバーにインストールする。

  1. ssl.confを書き換える。
    SSLCertificateFile /証明書までのパス/fiveworksjp.2018.crt
    SSLCertificateKeyFile /秘密鍵までのパス/fiveworksjp.2018_withpass.key
    SSLCertificateChainFile /中間証明書までのパス/fiveworksjp.2018.cst
  2. 整合性を確認する
    openssl rsa -pubout -in fiveworksjp.2018_withpass.key | openssl sha1
    openssl x509 -noout -pubkey -in fiveworksjp.2018.crt | openssl sha1

と、ここで問題発生。上記2番での整合性チェックで値が合わない。
試しに2016年に作った秘密鍵で試したら値が一致。
あんまサーバー証明書って詳しくないんですが、今回の場合だと秘密鍵は不要だった?
まぁ、よくよく考えたら作ったCSR申請しないで新しいSSL証明書もらってたしね。
ということでssl.confの秘密鍵を2016年のものに書き換えてサーバーの再起動をする。

  1. apachectl -k graceful


サイトの証明書を確認し、更新されてればOK。
プラスして「ジオトラストSSLチェッカー」でチェックしておきましょう。
ためしに、今回新たに作成した秘密鍵を指定してサーバーの再起動をしたところApacheが起動してきませんでした。

なので、今回のデジサート社(旧シマンテック社・ジオトラスト社)問題に伴う証明書更新に関して言うと

  • 秘密鍵の作成
  • CSRの作成

は不要で中間証明書と証明書を置き換えれば(更新)すればOKということなのかな。