お仕事, PC, いんたーねっと

SSLを更新した話(GMO→さくらのラピッドSSL)(2)

コメントする

こんにちは。ヘタレwebコーダーの管理人です。
今日はSSLの更新で血を吐いたお話、2回目にして最終回。
2回目は実際のファイル更新作業ですよ。

さくらVPSコンパネにログイン

https://secure.sakura.ad.jp/vps/#/login
 会員ID :********
 パスワード:*************
 サーバのサービスコード:12桁の数字
 さくらのVPS(v3) *G ****
 IP[***.***.***.**]

VNCコンソールにログインしよう。

手順を確認しておこう

①サーバメンテナンス中のindex.htmlをアップロードしてサービス停止。
②Apacheを一度停止
③以下3ファイルを置き換え
 ・サーバ証明書(公開鍵):SureServer.crt
 ・秘密鍵ファイル:SureServer.key
 ・中間証明書  :SSCA.crt

④Apacheを再起動
⑤動作確認
⑥index.htmlを削除してサービス再開。

以下、VNCコンソールのコマンド

(操作方法はUnixとかCentOSとかでググれば出てくるぞ。キミもがんばれ)

# cd /etc/pki/tls/ 
# /etc/init.d/httpd stop←Apatche停止

# mv certs/SureServer.crt certs/SureServer2014.crt; \
mv certs/SureServer2017.crt certs/SureServer.crt; \
mv private/SureServer.key private/SureServer2014.key; \
mv private/SureServer2017.key private/SureServer.key; \
mv certs/SSCA.crt certs/SSCA2014.crt; \
mv certs/SSCA2017.crt certs/SSCA.crt

# /etc/init.d/httpd configtest
# /etc/init.d/httpd start←Apatche再起動

よっしゃApatvhe再起動!

ところが

最後にアパッチが再起動しない!
[FAILED]になる。

ログをみてみる

[error]caught SIGTERM, shutting down
[error]Init: Unable to read server certificate from file /stc/pki/tls/certs/SureServer.crt
[error]SSL Library Error:218529960 error:0d0680a8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag
[error]SSL Library Error:218595386 error:0d07803a:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error

SSLライブラリエラー?
SureServer.crtが読めてないっぽい?

焦る。

とりあえずSureServer.crtに問題があるんだな。
中身を調べたら、最初の行の「—–BEGI」がぬけていた。コピペミスだ…
これって、html5版のコンソールのコピペ機能が上手く言ってないってことだよねえ…
これが原因か?

直してから、もう一回apatcheを起動してみる。
# /etc/init.d/httpd configtest
# /etc/init.d/httpd start←Apatche再起動

成功!

えいどりあーん。やったよママン。

動作確認

 以下のようにアクセスし、問題ないか確認する。
  https://ドメイン名/

  確認ポイント
   ・サイトが正しく表示されるか
   ・サイトから証明書情報を正しく確認できるか

↓こんな感じの表示になってるはず。
———————
この証明書は以下の用途に使用する証明書であると検証されました:
SSL クライアント証明書
SSL サーバー証明書
発行対象
一般名称(CN) (ドメイン名)
組織(O) <証明書に記載されていません>
部門(OU) <証明書に記載されていません>
シリアル番号 **:**:**:**:**:**:**:**:**:**:**:**:**:**:**:**
発行者
一般名称(CN) RapidSSL SHA256 CA
組織(O) GeoTrust Inc.
部門(OU) <証明書に記載されていません>
証明書の有効期間
発行日 2017年*月*日
有効期限 2020年*月*日
SHA-256フィンガープリント **:**:**:**:**:**:**:**:**:**:**:**:**:**:**:**:**:**:**:**:**:**:**:**:**:**:**:**:**:**:**:**
SHA1 フィンガープリント **:**:**:**:**:**:**:**:**:**:**:**:**:**:**:**:**:**:**:**

———————

安い理由はここにあった…

カギアイコンをクリックすると
ウェブサイトの識別情報に「検証され信頼できる運営者情報はありません」と表示されちゃいます。
これはEV SSL以外のSSLサーバ証明書を使用している場合に表示されます。
厳格に審査が必要なEV SSL証明書との差別化を図っているようです。
EV SSL証明書が高い理由はこれかぁ…

アクセスログの確認

アクセスログ、エラーログで、特におかしなログがないことを確認する。

サイトシールをグローバルサインからジオトラストに変える。

画像を静的に張り替えるだけだった。工エエェェ(´д`)ェェエエ工ええ
せめて期限が切れたら表示されなくなるようにしとけよ…

おわった。

そんなこんなで、
とりあえずなんとかあたしでも更新できました!
いやーお疲れ様でした。

前回の記事も参考になるかしらね?

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

eighteen + five =

CAPTCHA

*