SSLを更新した話(GMO→さくらのラピッドSSL)(1)

こんにちは。ヘタレwebコーダーの管理人です。
今日はSSLの更新で血を吐いたお話です。
SEの方ならなんでもない作業なんでしょうけど、知識のないところから始めるとやたらとハードルが高いですねー。
同じ現象でお困りの方がいたら参考になりますかねえ。

サーバ証明書の有効期限が近いのよ

9月で自社運営サイトのサーバ証明書が有効期限切れます。更新しなきゃならないのです。

今まで使っていたのはGMOグローバルサインの企業認証SSL。
乗り換えキャンペーンを使ってこれまでの3年間/8万円くらいでした。

けっこうお高いのね

期間満了の2ヶ月前くらいに、GMOグローバルサインから更新のお知らせが来ました。今度は割引なしで、2年で10万円以上になる。
加えて、SSL導入はサーバを構築してもらった会社に代行してもらっていて、これにも数万円かかる。

自分でやれないかなー

そんなにむずかしい作業のかなー、自分でやれないかなーと思ってしらべてみた。
グローバルサインのスキップ認証が一番めんどくさくなさそうだった。

でもやってみたらぜんぜんカンタンじゃない(ヽ´ω`)

そもそも知識がないんだから自分でやることが無茶なんだけどね…。

それはともかく、お金が↑これだけかかりますよーと上に報告したら、もっと安いのないの?といわれまして(まあそうだよな)。

サーバと同じ会社のSSLサービスをつかえば楽じゃない?

件のサイトはさくらのVPSサーバなので、同じ会社のサービスなら、代行してもらえばオレの作業がゼロになるのでは?と思った。ナイスアイデア。
さくらのラピッドSSLなら1年1620円(税込)、3年だと3,456円!
コレ安いけどドメイン認証のみですよ、企業実在認証はないけどいいですか?と上に言ったら、GOサインが出た。

早速さくらのサポートに問い合わせたら、SSLの設定代行は新規ならやってる(手数料が税抜20,000円かかる)けど、更新ならやってませんといわれる。しょんもり。自分でやらなきゃダメかぁ。

しかしインターネッツとはありがたいもので、さくらのVPSサーバにSSLを導入したり、更新したりしている記事を上げてくれている人が結構いる。
前回更新した時の作業経緯はテキストで詳しく残っているので、なんとか自分でもできるんじゃないか?と判断してとにかくやってみることにした。
いざとなったら更新作業を前回お願いした会社に頼めばいっかーという保険があったしね。

前置きが長くなりましたが

そういうことです
さーやってみっか!

申し込み手順

  1. WHOIS情報を元にCSRと秘密鍵を作成する。
    (WHOISって何?という人はWHOIS検索でググってください。CSRと秘密鍵ってのは単なるテキストの羅列です。生成されるので、テキストエディタでコピーしてとっておく。)

  2. さくらのラピッドSSLに申し込む
    (CSRはこのとき必要。フォームにCSRの中身を貼り付ける。)

  3. 「お申込受付完了のお知らせ」メールが届く。
  4. 支払い方法を指定する。
    (クレジットカードか銀行振込がオススメ。うっかり請求書払いにすると、請求書が届くまで作業が止まるぞ。)←と言っているということは、止まったわけです

  5. 代金を支払う。
  6. 「[さくらインターネット]SSLサーバ証明書 認証ファイルのアップロードについて」というメールが届く。
    (支払い完了しないと届かないぞ。これで1週間無駄に待ったぞw)

  7. さくらの会員メニューから認証ファイルをダウンロードする。
    (会員メニューにログイン→「契約情報」→「契約サービスの確認」→「サーバ証明書」ボタンをクリック。「認証ファイルDL」→「fileauth.txt」をDL)
  8. ダウンロードした認証ファイルを申請時に指定したFQDN(コモンネーム)配下にアップロードする。
    (コモンネームってのはドメイン名だと思ってればいい(よね?)。アップロード場所は指定あり。コマンドラインでなくて普通にMacのFilezillaを使ったよ。windowsだとドットが最初にくるフォルダは作れないから、リモート側でフォルダ名変更するとかしないとダメかもね)

    例)
    http://<申請時に指定したFQDN(コモンネーム)>/.well-known/pki-validation/fileauth.txt
    https://<申請時に指定したFQDN(コモンネーム)>/.well-known/pki-validation/fileauth.txt
    ※「/.well-known/pki-validation/」のフォルダはお客さまで作成ください

  9. アップロードしたファイルをクローラーがみつけてくるのを待つ。
    (5分くらい?もっとかかったな?)

  10. そうすると、さくらの会員メニューが「サーバ証明書」→「サーバ証明書DL」になる。crtファイルをダウンロード。
    (これをもとに中間証明書を発行するらしい。まだあるのかよ!)

  11. さくらからまた中間CA証明書発行のメールが来る。メールのURLをクリックして中間CA証明書のテキストをテキストファイルにコピーしておく。ファイル名は前回の更新時と同じくSSCA.crtとする。
    (中間CA証明書は、「2016.3.31以前」と「2016.3.31以降」の2種類がある。どっちを使うのかわからない。両方共DLしてわかり易い名前で保存した。「2016.3.31以降」でいいのかな?試しにやってみることにした。ファイル名は会社とかサーバによって違うと思うので、適宜調べて下さい)

  12. サーバ証明書ファイルと中間CA証明書をサーバの所定の位置にコピーする。
    (今回は更新なので、前回更新時の資料を見つつ、おなじファイル名にしてディレクトリにコピーした。そのさい、何かあったらもとに戻せるようにタイムスタンプを付けておくこと。本番ファイルが「SureServer.crt」、「SSCA.crt」だったので、それぞれ「SureServer2017.crt」、「SSCAyyyy2017.crt」とした。)SureServerというのは、最初にSSLを導入したときのサイバートラスト社のファイル名みたいですね。今回入れるのはジオトラストのSSLで、前回はGMOグローバルサインなのでとてもややこしい。更新だからファイル名は前と同じにしないとね。くわしくはよーしらん。

  13. 由緒正しい方法であろうcentOSのコマンドラインでファイルを作ってみる。
    (さくらVPSのコントロールパネルにログインしてから、さらにサーバのVNCコンソールにログインして、本番ファイルの階層までdirで移動。「#vi SureServer2017.crt」と入力してファイルを作成する。)

  14. さーてローカルにある、ダウンロードしたServer.crtファイルの中身をコピペしよう!
    あ、あれ?できないぞ?

  15. なんとさくらVPSのVNCコンソールはコピーペーストができない!
    (これが判明するまでかなり悩んで時間を費やした (´Д`;))

  16. シリアルコンソール(β版)ならコピペできるらしい。
    こっちから「#vi SureServeryyyy_mmdd.crt」でファイルを開いてコピペした。なんとなく視覚的に上手くいった気がしないが、どーなのこれ。とりあえずコマンドモードにして:wqで保存して終了。

  17. 同様にして、サーバ証明書ファイル(SureServeryyyy_mmdd.crt)と中間CA証明書ファイル(SSCAyyyy_mmdd.crt)、秘密カギ(SureServeryyyy_mmdd.key)の3つのファイルを所定のフォルダに作成。
    (もちろん、上書きしないでリネームしてあります。コマンドでファイルを作ったはいいけどコピペがうまくいかなかったのでFilezillaでアップロードした。いいのかコレ)

  18. アップロードした3つのファイルは、パーミッションが644なので600に変える。
    (なぜかはしらない。前回の手順にそう書いてあったから何も考えずにやってる。chmodコマンドを使う。最初Filezillaからやろうとして失敗した(笑)。確認はfilezillaから見たよ…)

  19. さーてこれでやっと切り替えの用意ができたーヽ( `Д´)ノ
    あとはサービスをストップさせてファイルを切り替え、再起動するだけだっ(でもおいらにはハードル高いよ…)

つづく。

参考サイト

こちらを見たほうがためになります。
みなさまありがとうございました。

このブログのサーバー(さくらの VPS)にラピッド SSL を導入した手順
https://memocarilog.info/webdesign/8420

さくらのVPSでラピッドSSL利用方法
https://morning-drupal.com/video/85

さくらのサポート情報 – SSLシールの設定マニュアル一覧
https://help.sakura.ad.jp/hc/ja/articles/206208301-%E3%82%B7%E3%83%BC%E3%83%AB%E3%81%AE%E8%A8%AD%E5%AE%9A%E3%83%9E%E3%83%8B%E3%83%A5%E3%82%A2%E3%83%AB%E4%B8%80%E8%A6%A7?_bdld=1Bs5Jv.lVfx-lX&_ga=2.49384741.2065799487.1504572864-1057573325.1504572864

CSR・秘密鍵作成
http://tech-unlimited.com/csr.html

基本的なコマンドとCentOSの基本的なこと
http://qiita.com/Togattter/items/89d65e47006180625d59

【さくら】ラピッドSSLの認証ファイルが認証されない
https://www.out48.com/archives/1973/
↑2017年5月の記事。

安くて早い!ラピッドSSL証明書をさくらで取得して適用してみた
http://unitopi.com/sakura_rapid_ssl/
↑2016年の記事だが、認証ファイルの拡張子が違ったりしている。参考にならない?

「SSLを更新した話(GMO→さくらのラピッドSSL)(1)」への1件のフィードバック

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

5 + 19 =

*