どうも、Adachinです。

前回SSLの概要をブログしたので、
今回はSSL更新方法をブログしやす。

※新規の場合はまたあとで追記します→一番下に


■たくさんある鍵と証明書について

  1. CSR(証明書のリクエストファイル)
  2. KEY(sshでいう秘密鍵的な)
  3. CRT(証明書/公開鍵的な)
  4. ca.CRT(中間証明書)

↑まずはこれらを理解します。「こんなにあるのかよ覚えられん・・・」
と思いましたが、実は・・・
CSR+KEY=CRT(証明書)
なわけで、
CSR+KEY+CRT→3つ揃って1セット
なのです。ここらへんは実際SSLの業者さんに証明書作ってもらい、
自分の秘密鍵と証明書が合致すれば問題ないというお話。(前回ブログした通り)
ちなみにbit数は2048が主流


■設定方法

実際にテストでどんなことをやるのか紹介します

■確認

こんな感じでapacheやバーチャルホスト、SSLの設定ディレクトリがどこだか分かります

 ■CRT & KEYファイル合致確認

  1. 証明書ファイル及び中間証明書の準備
    証明書ファイル及び中間証明書ファイルをサーバにアップロード
  2. CRTファイルとKEYファイルが合致する事を確認

もしくは

こっちだと余計なファイルも作らないし、その場で動作確認にもなる
ctrl +c で抜けれる

■confファイルのコピー

なんでもコピー

■更新

 ■編集内容確認

確認しないとアカンね

■構文チェック

■apache再起動

夜中とかにリスタートするのが望ましい

■サイト確認

・httpsでサイトが見れるのか
・SSLチェッカーでちゃんと期限などあっているのか
https://cryptoreport.geotrust.com/checker/views/certCheck.jsp

を確認しクローズ


■まとめ

で、何が危険なのかというと、失敗した場合、WEBサイトが全く見れなくなります。
そうならないために!!!!!
必ずCRTとKEYの合致確認をしなければならないということ。

CRTとKEYがもし間違っていたとしても、
構文チェックで問題なければいいということではありません。

あくまで構文チェックは構文だけをチェックするだけなので、
プログラムの中身まではチェックしてくれません。

以上です!!(・∀・)b

もっと詳しく書いてあるのが大先輩のQiitaより
http://qiita.com/kuni-nakaji/items/5118b23bf2ea44fed96e


■新規の場合

・CSRとKEYの作成

・CSRを業者に渡す

・CRTが来たらKEYと合致確認

・シンボリックリンクで楽に設定する

・nginxなりapacheなり再起動する

以上!

The following two tabs change content below.

あだちん

1989年生まれ。 ランサーズ/SRE。 2013年新卒に自宅サーバを構築し、技術ブログを立ち上げた。 ホスティングから大規模なアドテクなどのインフラエンジニアとして携わり、他社インフラレスポンス改善、ランサーズにてサーバ系のお仕事も副業で行っている。未経験によるエンジニア勉強会なども実施している。そして「脆弱性スキャナVuls」のOSS活動もしており、広報/エバンジェリスト/VulsRepo init file,chatwork通知のコントリビュータでもある。現在は分析基盤を担当しておりDigdag,embulk,BigQueryを使いこなそうと奮闘中。

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください