サイバートラストのSSL更新の手引き


サイバートラストの「SureServer for SSL」を使ってます。
それでSSLの有効期限が近付いてきたのでサイバートラストの更新マニュアルを見たけどよくわからない。
ポイント毎に詳しい説明は載ってるんだけど全体の流れがよくわからない。
てか右サイドのサポートリンクの並びがわかりづらい。
そんな感じでたまにしかやらないSSL更新作業を毎回忘れる自分のためにメモ・・。

必要なファイル

1. サーバー証明書
 → 証明書署名要求ファイルを元にサイバートラストに発行してもらいます。
 → SureServer.2011.crt
2. 中間証明書
 → サイバートラストのサイトからダウンロードできます。
 → SSCA1.2011.crt
3. 証明書署名要求ファイル
 → opensslコマンドを使って生成します。
 → SureServer.2011.csr
4. 秘密鍵
 → 証明書署名要求ファイル作成時に生成されます
 → SureServer.2011.key

SSL証明書更新の基本的な流れ


手順1. CSR(証明書署名要求)とその秘密鍵を作成

# CSR用ディレクトリを作成します。
$ mkdir /etc/httpd/conf/ssl.csr
# CSR用ディレクトリに移動します。
$ cd /etc/httpd/conf/ssl.csr
# CSRを生成します。下記参照【CSR生成ログ】
$ openssl req -new > SureServer.2011.csr

Generating a 1024 bit RSA private key
………..++++++
………………++++++
writing new private key to ‘privkey.pem’
Enter PEM pass phrase: 任意のパスワードを入力
Verifying – Enter PEM pass phrase: 任意のパスワードを再入力
—–
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
—–
Country Name (2 letter code) [GB]: JA 国コード入力
State or Province Name (full name) [Berkshire]: Tokyo 都道府県を入力
Locality Name (eg, city) [Newbury]: Shibuya-ku 市区町村を入力
Organization Name (eg, company) [My Company Ltd]:Example Co.,Ltd. 会社名を入力
Organizational Unit Name (eg, section) []:example.com 会社ドメイン名を入力
Common Name (eg, your name or your server’s hostname) []:www.example.com  サイトURLを入力
Email Address []: 空白でOK

Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []: 空白でOK
An optional company name []: 空白でOK
———————————————————————

# CSR生成時にできる鍵ファイルの名前を変更します。
$ mv privkey.pem SureServer.2011.key

※CSRファイル・鍵ファイルは絶対に削除したり上書きしないように注意してください。

手順2. 1のCSR(証明書署名要求)をサイバートラストに送信してサーバ証明書を発行してもらう

下記サイバートラスト管理画面からサーバー証明書申請をします。
https://sstra.cybertrust.ne.jp/IRA/loginSb/
申請時に手順1で作成したCSRファイルが必要になります。
サーバー証明書は審査完了後にメールで送られてきます。(が、僕の場合なぜか迷惑メールに入ってて気が付きませんでした)
サーバー証明書を下記パスに保存します。

$ /etc/httpd/conf/ssl.crt/SureServer.2011.crt

手順3. 中間CA証明書を下記URLから取得

下記ページからダウンロードできます。
→ https://www.cybertrust.ne.jp/ssl/support/download_ca.html#01

# wgetで取得します。
$ mkdir /etc/httpd/conf/ssl.crt/
$ cd /etc/httpd/conf/ssl.crt/
$ wget https://www.cybertrust.ne.jp/SureServer/file/root_ca/PUBCAG1.txt
$ mv PUBCAG1.txt SSCA1.2011.crt

手順4. 取得した秘密鍵・サーバ証明書・中間CA証明書の3点を下記のように書き換える (Apache + mod_ssl)の場合

$ vim /etc/httpd/conf.d/ssl.conf

SSLCertificateFile /usr/local/apache/conf/ssl.crt/SureServer.2011.crt
SSLCertificateKeyFile /usr/local/apache/conf/ssl.key/SureServer.2011.key
SSLCertificateChainFile /usr/local/apache/conf/ssl.crt/SSCA1.2011.crt

※apacheの設定ファイルは必ずバックアップを取って作業する

手順5. サーバー起動時のパスワード要求を削除

$ cd /usr/local/apache/conf/ssl.key/
$ openssl rsa -in SureServer.2011.key -out SureServer.2011.key

手順6. サーバーを再起動。ブラウザで確認できれば完了。

$ /etc/init.d/httpd restart