[Security][Linux] 証明書の再発行

技術のお話し

今更ながら、SHA-1の証明書をSHA-256にすることにしました。その時のメモ。

  • CSRを再作成する。Webサーバ上で以下のコマンドを実行。対話形式で色々聞かれるので、適宜答える。

    openssl req -new -sha256 -key www.bluecore.net .key -out www.bluecore.net.sha-256.csr

  • 私の場合、証明書はRapidSSLで発行してもらっているので、そこのウェブサイトで「サポート」ページヘ移動する。
    • オーダーIDとパスワードを入力して、発行ステータス確認画面へ移動する。(オーダーIDとかパスワードとかは、証明書を発行した時に定義するものなので、一度発行を受けた時には必ずメモ取るなりしときましょうね)
    • CSRの文字列を貼り付け、入力欄下のハッシュアルゴリズムの指定で「SHA-256」を必ず指定する。
  • postmaster@<ドメイン名>へ確認メールが飛ぶ。
    • 今回、実はZOHOメールに当該アドレスの受け口を定義しておらず、若干苦労した。
    • ZOHOメール上に当該メールを受け付けるグループを作成して対処した。
    • 確認メールのURLから、承認画面を開き、承認する。
  • 証明書が書かれたメールが届くので、ここからX.509形式の証明書をテキストとしてコピペし、「www.bluecore.net.sha-256.crt」として保存。クロスルート証明は、既存のものを流用。
  • 以下のコマンドを使用し、念のためX.509形式の証明書が正しく構成できていることを確認する。

    # openssl x509 www.b-in www.bluecore.net.sha-256.crt -text

    Certificate:
    Data:
    Version: 3 (0x2)
    Serial Number: 114139 (0x1bddb)
    Signature Algorithm: sha256WithRSAEncryption

     

    ・・・・・・<中略>・・・・・

     

    —–END CERTIFICATE—–

  • 以下のコマンドを使用し、X.509形式の証明書をPKCS#12形式に変換する。これやるときには必ず秘密鍵が必要になるので、予め同一パスに準備すること。また、任意のパスワード定義を求められるので、パスワードを定義する。(これは証明書適用時に求められる)

    # openssl pkcs12 -export -in www.bluecore.net.sha-256.crt

     -inkey www.bluecore.net.key

      -out www.bluecore.net.sha-256.pkcs12

      -certfile RapiidSSL_CA_bundle.pem

      -name www.bluecore.net

  • 生成した証明書は「www.bluecore.net.sha-256.pkcs12」として保存される。
  • 保存された証明書をUTMへアップロードし、SSL証明書として適用する。
  • ウェブサイトへHTTPSへアクセス⇒SHA-256となっていることを確認する。

なお、これをやってもSSL証明書の警告メッセージが消えてくれないので以下の対応をしたよ。

  • WordPress HTTPSを導入して、全てのリンクをHTTPS化
  • 余計なWordpressプラグインを削除
  • WAFの設定を修正(詳細は割愛)

どうやらSHA-1証明書はどんどんSHA-256へ移行していってるそうな。ブラウザでも、証明書を適用する意味を失うことになるらしいため、周囲でもどんどんSHA-256への移行が進んでいってたりする。この辺りの知識はホント学んでも学んでも追いつかないなぁ・・・(´・ω・`)

Tags:

No responses yet

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

PAGE TOP