今更ながら、SHA-1の証明書をSHA-256にすることにしました。その時のメモ。
- CSRを再作成する。Webサーバ上で以下のコマンドを実行。対話形式で色々聞かれるので、適宜答える。
openssl req -new -sha256 -key www.bluecore.net .key -out www.bluecore.net.sha-256.csr
- 私の場合、証明書はRapidSSLで発行してもらっているので、そこのウェブサイトで「サポート」ページヘ移動する。
- オーダーIDとパスワードを入力して、発行ステータス確認画面へ移動する。(オーダーIDとかパスワードとかは、証明書を発行した時に定義するものなので、一度発行を受けた時には必ずメモ取るなりしときましょうね)
- CSRの文字列を貼り付け、入力欄下のハッシュアルゴリズムの指定で「SHA-256」を必ず指定する。
- postmaster@<ドメイン名>へ確認メールが飛ぶ。
- 今回、実はZOHOメールに当該アドレスの受け口を定義しておらず、若干苦労した。
- ZOHOメール上に当該メールを受け付けるグループを作成して対処した。
- 確認メールのURLから、承認画面を開き、承認する。
- 証明書が書かれたメールが届くので、ここからX.509形式の証明書をテキストとしてコピペし、「www.bluecore.net.sha-256.crt」として保存。クロスルート証明は、既存のものを流用。
- 以下のコマンドを使用し、念のためX.509形式の証明書が正しく構成できていることを確認する。
# openssl x509 www.b-in www.bluecore.net.sha-256.crt -text
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 114139 (0x1bddb)
Signature Algorithm: sha256WithRSAEncryption・・・・・・<中略>・・・・・
—–END CERTIFICATE—–
- 以下のコマンドを使用し、X.509形式の証明書をPKCS#12形式に変換する。これやるときには必ず秘密鍵が必要になるので、予め同一パスに準備すること。また、任意のパスワード定義を求められるので、パスワードを定義する。(これは証明書適用時に求められる)
# openssl pkcs12 -export -in www.bluecore.net.sha-256.crt
-inkey www.bluecore.net.key
-out www.bluecore.net.sha-256.pkcs12
-certfile RapiidSSL_CA_bundle.pem
-name www.bluecore.net
- 生成した証明書は「www.bluecore.net.sha-256.pkcs12」として保存される。
- 保存された証明書をUTMへアップロードし、SSL証明書として適用する。
- ウェブサイトへHTTPSへアクセス⇒SHA-256となっていることを確認する。
なお、これをやってもSSL証明書の警告メッセージが消えてくれないので以下の対応をしたよ。
- WordPress HTTPSを導入して、全てのリンクをHTTPS化
- 余計なWordpressプラグインを削除
- WAFの設定を修正(詳細は割愛)
どうやらSHA-1証明書はどんどんSHA-256へ移行していってるそうな。ブラウザでも、証明書を適用する意味を失うことになるらしいため、周囲でもどんどんSHA-256への移行が進んでいってたりする。この辺りの知識はホント学んでも学んでも追いつかないなぁ・・・(´・ω・`)
No responses yet