January 2015

[Security][Linux] 証明書の再発行

今更ながら、SHA-1の証明書をSHA-256にすることにしました。その時のメモ。 CSRを再作成する。Webサーバ上で以下のコマンドを実行。対話形式で色々聞かれるので、適宜答える。 openssl req -new -sha256 -key www.bluecore.net .key -out www.bluecore.net.sha-256.csr 私の場合、証明書はRapidSSLで発行してもらっているので、そこのウェブサイトで「サポート」ページヘ移動する。 オーダーIDとパスワードを入力して、発行ステータス確認画面へ移動する。(オーダーIDとかパスワードとかは、証明書を発行した時に定義するものなので、一度発行を受けた時には必ずメモ取るなりしときましょうね) CSRの文字列を貼り付け、入力欄下のハッシュアルゴリズムの指定で「SHA-256」を必ず指定する。 postmaster@<ドメイン名>へ確認メールが飛ぶ。 今回、実はZOHOメールに当該アドレスの受け口を定義しておらず、若干苦労した。 ZOHOメール上に当該メールを受け付けるグループを作成して対処した。 確認メールのURLから、承認画面を開き、承認する。 証明書が書かれたメールが届くので、ここからX.509形式の証明書をテキストとしてコピペし、「www.bluecore.net.sha-256.crt」として保存。クロスルート証明は、既存のものを流用。 以下のコマンドを使用し、念のためX.509形式の証明書が正しく構成できていることを確認する。 # openssl x509 www.b-in www.bluecore.net.sha-256.crt -text Certificate: Data: Version: 3 (0x2) Serial Number: 114139 (0x1bddb) Signature Algorithm: sha256WithRSAEncryption   ・・・・・・<中略>・・・・・   —–END CERTIFICATE—– 以下のコマンドを使用し、X.509形式の証明書をPKCS#12形式に変換する。これやるときには必ず秘密鍵が必要になるので、予め同一パスに準備すること。また、任意のパスワード定義を求められるので、パスワードを定義する。(これは証明書適用時に求められる) # openssl pkcs12 -export -in www.bluecore.net.sha-256.crt  -inkey www.bluecore.net.key   -out www.bluecore.net.sha-256.pkcs12 […]