Pocket

どうも、Adachinです。

前回SSLの概要をブログしたので、
今回はSSL更新方法をブログしやす。

※新規の場合はまたあとで追記します→一番下に


■たくさんある鍵と証明書について

  1. CSR(証明書のリクエストファイル)
  2. KEY(sshでいう秘密鍵的な)
  3. CRT(証明書/公開鍵的な)
  4. ca.CRT(中間証明書)

↑まずはこれらを理解します。「こんなにあるのかよ覚えられん・・・」
と思いましたが、実は・・・
CSR+KEY=CRT(証明書)
なわけで、
CSR+KEY+CRT→3つ揃って1セット
なのです。ここらへんは実際SSLの業者さんに証明書作ってもらい、
自分の秘密鍵と証明書が合致すれば問題ないというお話。(前回ブログした通り)
ちなみにbit数は2048が主流


■設定方法

実際にテストでどんなことをやるのか紹介します

■確認

こんな感じでapacheやバーチャルホスト、SSLの設定ディレクトリがどこだか分かります

 ■CRT & KEYファイル合致確認

  1. 証明書ファイル及び中間証明書の準備
    証明書ファイル及び中間証明書ファイルをサーバにアップロード
  2. CRTファイルとKEYファイルが合致する事を確認

もしくは

こっちだと余計なファイルも作らないし、その場で動作確認にもなる
ctrl +c で抜けれる

■confファイルのコピー

なんでもコピー

■更新

 ■編集内容確認

確認しないとアカンね

■構文チェック

■apache再起動

夜中とかにリスタートするのが望ましい

■サイト確認

・httpsでサイトが見れるのか
・SSLチェッカーでちゃんと期限などあっているのか
https://cryptoreport.geotrust.com/checker/views/certCheck.jsp

を確認しクローズ


■まとめ

で、何が危険なのかというと、失敗した場合、WEBサイトが全く見れなくなります。
そうならないために!!!!!
必ずCRTとKEYの合致確認をしなければならないということ。

CRTとKEYがもし間違っていたとしても、
構文チェックで問題なければいいということではありません。

あくまで構文チェックは構文だけをチェックするだけなので、
プログラムの中身まではチェックしてくれません。

以上です!!(・∀・)b

もっと詳しく書いてあるのが大先輩のQiitaより
http://qiita.com/kuni-nakaji/items/5118b23bf2ea44fed96e


■新規の場合

・CSRとKEYの作成

・CSRを業者に渡す

・CRTが来たらKEYと合致確認

・シンボリックリンクで楽に設定する

・nginxなりapacheなり再起動する

以上!

Pocket

カテゴリー: BlogCentOSSecuritySSL

adachin

1989年生まれのFindy/SRE。ホスティングから大規模なアドテクなどのインフラエンジニアとして携わる。現在はサービスの信頼性向上、DevOps、可用性、レイテンシ、パフォーマンス、モニタリング、オブザーバビリティ、緊急対応、AWSでのインフラ構築、Docker開発環境の提供、IaC、新技術の検証、リファクタリング、セキュリティ強化、分析基盤の運用などを担当している。個人事業主では数社サーバー保守とベンチャー企業のSREインフラコンサルティングやMENTA/TechBullで未経験者にインフラのコーチング/コミュニティマネージャーとして立ち上げと運営をしている。また、過去「脆弱性スキャナVuls」のOSS活動もしており、自称エバンジェリスト/技術広報/テクニカルサポート/コントリビュータでもある。

0件のコメント

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください