今更ながら、SHA-1の証明書をSHA-256にすることにしました。その時のメモ。

• CSRを再作成する。Webサーバ上で以下のコマンドを実行。対話形式で色々聞かれるので、適宜答える。
  

  openssl req -new -sha256 -key www.bluecore.net .key -out www.bluecore.net.sha-256.csr

• 私の場合、証明書はRapidSSLで発行してもらっているので、そこのウェブサイトで「サポート」ページヘ移動する。
  • オーダーIDとパスワードを入力して、発行ステータス確認画面へ移動する。（オーダーIDとかパスワードとかは、証明書を発行した時に定義するものなので、一度発行を受けた時には必ずメモ取るなりしときましょうね）
  • CSRの文字列を貼り付け、入力欄下のハッシュアルゴリズムの指定で「SHA-256」を必ず指定する。
• postmaster@<ドメイン名>へ確認メールが飛ぶ。
  • 今回、実はZOHOメールに当該アドレスの受け口を定義しておらず、若干苦労した。
  • ZOHOメール上に当該メールを受け付けるグループを作成して対処した。
  • 確認メールのURLから、承認画面を開き、承認する。
• 証明書が書かれたメールが届くので、ここからX.509形式の証明書をテキストとしてコピペし、「www.bluecore.net.sha-256.crt」として保存。クロスルート証明は、既存のものを流用。
• 以下のコマンドを使用し、念のためX.509形式の証明書が正しく構成できていることを確認する。
  

  # openssl x509 www.b-in www.bluecore.net.sha-256.crt -text

  Certificate:
  Data:
  Version: 3 (0x2)
  Serial Number: 114139 (0x1bddb)
  Signature Algorithm: sha256WithRSAEncryption

   

  ・・・・・・<中略>・・・・・

   

  —–END CERTIFICATE—–

• 以下のコマンドを使用し、X.509形式の証明書をPKCS#12形式に変換する。これやるときには必ず秘密鍵が必要になるので、予め同一パスに準備すること。また、任意のパスワード定義を求められるので、パスワードを定義する。(これは証明書適用時に求められる)
  

  # openssl pkcs12 -export -in www.bluecore.net.sha-256.crt

  　-inkey www.bluecore.net.key

    -out www.bluecore.net.sha-256.pkcs12

    -certfile RapiidSSL_CA_bundle.pem

    -name www.bluecore.net

• 生成した証明書は「www.bluecore.net.sha-256.pkcs12」として保存される。
• 保存された証明書をUTMへアップロードし、SSL証明書として適用する。
• ウェブサイトへHTTPSへアクセス⇒SHA-256となっていることを確認する。

なお、これをやってもSSL証明書の警告メッセージが消えてくれないので以下の対応をしたよ。

• WordPress HTTPSを導入して、全てのリンクをHTTPS化
• 余計なWordpressプラグインを削除
• WAFの設定を修正（詳細は割愛）

どうやらSHA-1証明書はどんどんSHA-256へ移行していってるそうな。ブラウザでも、証明書を適用する意味を失うことになるらしいため、周囲でもどんどんSHA-256への移行が進んでいってたりする。この辺りの知識はホント学んでも学んでも追いつかないなぁ・・・(´・ω・｀)