📖
SSL証明書の発行(2025年9月FujiSSL)
2025年現在、SSL証明書にお金を払う事自体が過去の遺産だと思います。対応していきます。
やりたいこと
- CSRの作成
- SSL証明書の発行申請
- ドメイン認証
- SSL証明書の反映
CSRの作成
対応するOS
[root@loa pki-validation]# cat /etc/redhat-release
CentOS Linux release 7.6.1810 (Core)
秘密鍵を作成する。パスワードはなんでもOK。
[root]# openssl genrsa -des3 2048 > servername.key.20250914
秘密鍵を使ってCSRを作成する。
[root]# openssl req -new -key servername.key.20250914 -out server.csr.20250914 -sha256
上記で設定した秘密鍵のパスワードを入力する。
プロンプトで国などを問われるため必要に応じて入力する。
今回はcommonName以外は空欄にします。
SSL証明書の発行申請
FujiSSLのストアフロントから必要な情報を入力していきます。驚いたことに期限3年を選択可能でした。長く設定すると次の更新を忘れそうだけど3年を選びます。上記で作成したCSRも入力します。
ドメイン認証
ファイル認証を選択します。ドメインの特定ディレクトリに指定されたテキストファイルを起きます。ファイルを置いてから5分程度で認証OKだったのか、証明書と中間証明書の文字列がメールで飛んできました。
申請した期限と証明書の期限があってないように見える。
証明書のメールに記載の有効期限は1年になっている
申請内容のメールを見ると3年になっている。
証明書の期限を直接確認する。
証明書の期限は1年後の日付になっている。自分の思い込みかな…。
[root@loa ~]# openssl x509 -text -noout -in ca.car.20250914
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
66:21:b1:1e:cc:57:19:f0:49:d3:4b:45:5f:da:f1:18
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=JP, ST=Tokyo, L=Shibuya-ku, O=Nijimo K.K., CN=FujiSSL SHA2 Domain Secure Site CA
Validity
Not Before: Sep 14 00:00:00 2025 GMT
**Not After : Oct 15 23:59:59 2026 GMT**
…
まずは証明書更新を済ませる。
SSL証明書の反映
古き良きApacheを使っているので証明書と秘密鍵と中間証明書のファイルを差し替える。
秘密鍵にパスワードを設定している場合うまく動かないため解除する。
ファイルに以下のような記載がある場合はパスワードがかかってます。
[root]# cat servername.key.20250914
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,296FFB9778A2DB15
パスワード解除
openssl rsa -in servername.key.20250914 -out servername.key.20250915
ファイルを差し替えてApacheを再起動します。commonNameのURLにアクセスして新しいSSL証明書であることを確認しました。
期限は別途問い合わせますが自分の勘違いだったかも。
Discussion