SSLを設定します
前書き
春は出会いと別れの季節。
冬の様な寒さもまだありますが、そんな季節になってまいりました。
すでにSSLが設定されているサーバーにも更新の時期が。
今までSSLサーバー証明書には触れることなく生きてきましたが、
この直近で立て続けに更新作業をして、同じところで躓いたので
自分用の備忘録を公開してみる、というのが今回のスタンスになります。
SSL設定は他にもたくさんの記事がありますが、特に真新しいことはしていません。
あくまでも自分用の備忘録としての位置付けを強調しておきます。
環境
サーバー関連
Server version: Apache/2.2.15 (Unix)
サーバーにはターミナルからsshでログインしております。
openssl version
OpenSSLがインストールされている環境です。
ディレクトリ・ファイル関連
ssl.conf / virtualHost設定ディレクトリ /etc/httpd/conf.d/
CSR・秘密鍵の保管ディレクトリ /root/ssl/2017
更新年のたびに年のディレクトリを増やしていく、
そんな管理方法であります。
上書きして失敗したら怖いですしね。
ssl.confファイル ssl.conf
sslサイトのvirtualHost設定ファイル virtualhost_ssl.conf
そのままです。特にひねりもありません。
シンプル is ベスト
サーバー証明要求ファイル ssl.hoge.com.csr
秘密鍵ファイル ssl.hoge.com.key
中間証明書ファイル ssl.hoge.com.cer
サーバー証明書ファイル ssl.hoge.com.crt
hoge.comで揃えてみました。
それぞれの内容はここでは触れませんので、どうぞお調べください。
実作業
秘密鍵を生成
openssl genrsa -des3 -out /root/ssl/2017/ssl.hoge.com.key 2048
鍵長が2048以上の場合は2048まで入力するのがお約束です。
ここではパスフレーズを入れるパターンでやっていきます。
サーバー証明要求ファイル(CSR)作成
openssl req -new -key /root/ssl/2017/ssl.hoge.com.key -out /root/ssl/2017/ssl.hoge.com.csr
たった今生成した秘密鍵を使ってCSRファイルを生成します。
改行されて表示されているかもしれませんが、改行はしません。
この後、根掘り葉掘り聞かれますが、誠実に回答してください。
国名 Country Name : JP
都道府県 State or Province Name : Tokyo
市区町村 Locality Name : Shibuya-ku
組織名(会社名) Organization Name : Hoge.co.ltd,
部署名(ない場合はハイフン) Organization Unit Name : Sales / -
Webサーバー Common Name : *.hoge.com
このあとは入力不要です。
サーバー証明書申し込み
サーバー証明書発行サイトで行います。
先ほど生成されたCSRの内容を求められるので、
最初のハイフンから最後のハイフンまできっちりコピーして入力フォームに貼り付けます。
もちろん、文末の改行は不要です。
他の内容は、そのサイトのQ&Aを確認してください。
中間証明書
申し込み時にサイトから中間証明書がメールで送信されます。
ない場合はサイトに転がっているので、環境にあったものを見つけてください。
vi /root/ssl/2017/ssl.hoge.com.cer
viである必要はありませんが、最初のハイフンから最後のハイフンまできっちりコピーしてファイルに貼り付けます。
ここでも文末の改行は不要です。
サーバー証明書
サーバー証明書発行サイトで確認できるかと思います。
vi /root/ssl/2017/ssl.hoge.com.crt
viである必要はありませんが、最初のハイフンから最後のハイフンまできっちりコピーしてファイルに貼り付けます。
ここでも文末の改行は不要です。大事なことなので3回言いました。
ssl.conf修正
ディレクトリを変えているので、ssl.confの修正が必須となります。
vi /etc/httpd/conf.d/ssl.conf
エディタを開き、以下の箇所を書き換えます。
SSLCertificateFile /root/ssl/2017/ssl.hoge.com.crt
SSLCertificateKeyFile /root/ssl/2017/ssl.hoge.com.key
SSLCertificateChainFile /root/ssl/2017/ssl.hoge.com.cer
それぞれ、サーバー証明書、秘密鍵、中間証明書を正しいパスで編集します。
virtualhost修正
必要に応じてvirtualhostも書き換えます。
vi /etc/httpd/conf.d/virtualhost_ssl.conf
ssl.confと同じ様にエディタを開き、以下の箇所を書き換えます。
SSLCertificateFile /root/ssl/2017/ssl.hoge.com.crt
SSLCertificateKeyFile /root/ssl/2017/ssl.hoge.com.key
SSLCertificateChainFile /root/ssl/2017/ssl.hoge.com.cer
それぞれ、サーバー証明書、秘密鍵、中間証明書を正しいパスで編集します。
証明書と秘密鍵が一致しているかチェック
このままapacheを再起動しても良いですが、止まってしまったら大変!
ということで、それぞれ一致しているかを確認してみましょう。
サーバー証明書申し込み
openssl req -noout -modulus -in /root/ssl/2017/ssl.hoge.com.csr
秘密鍵
openssl rsa -noout -modulus -in /root/ssl/2017/ssl.hoge.com.key
サーバー証明書
openssl x509 -noout -modulus -in /root/ssl/2017/ssl.hoge.com.crt
もしエラーが出る様でしたら、まずは各ファイルを見てみましょう。
自分はサーバー証明書ファイルのコピーができておらず、ここで何度も涙を見ました。。。
*** サーバー再起動
エラーが出なかった場合は晴れてapacheを再起動しましょう。
service httpd restart
Stopping httpd: [ OK ]
Starting httpd: [ OK ]
このフレーズが出たらOKです。
ホッと一息つけますね。