SSL更新を実際に行ったので備忘録として記録
この度ラビットSSLをさくらVPSで、更新する依頼を受けました。
ネットの多くは、新規に証明書の登録のことの説明で、更新の情報が少ないです。
そのため、自分の備忘録を兼ねて、ここに記録します。
今回さくらインターネットのサイトで紹介されているSSL登録の手順、ラビットSSLの更新手順の案内ページを見て作業しています。
こちらから、関連ページの確認が出来ると思います。
また、今回秘密鍵が無いので、新規に作りました。
CSRも、作りました。
ただCSRを作るとき、今使っている証明書と同一内容でないとエラーになると説明があり、少し不安がありました。
こちらの記事で、今serverにあるCSRの内容を確認できるコマンドを知りましたので、助かりました。
serverにSSHをして、
cd /etc/httpd/conf/ssl.csr/
で、目的のディレクトリに移動しました。
ここで、鍵を作りました。
こちらの記事が、参考になりました。
sudo openssl req -noout -text -in 証明書.csr
で、確認できました。
この内容を見ながら、
sudo openssl req -new -key ****.key -out ***.csr
で登録しました。
こちらの記事も、参考にしました。
whoisで調べた内容と実際にCSRに登録されていた内容が異なったので、今回焦りました。
しかも、コモンネームのところに、社名が記録されていたし。
実際コモンネームのところを社名で入力したら、使えい文字が入力されているとエラーになりました。
そのためコモンネームは、ドメイン名を入力することで申請できました。
/etc/httpd/conf.d/ssl.conf が無い
なんでssl.confが無いのか不思議に思い、serverの中を探したり、ネット検索したりしました。
この記事を見つけて、助かりました。
httpd -S
このコマンドで確かめたお陰で、SSLの関連ファイルが入っているディレクトリをセットしているファイルを見つけることが出来ました。
ポート443で、パスが指定されていました。
そして、指定されているファイルを確認したら、ちゃんとKeyや証明書のファイルへのパスが設定されていました。
Apache再起動方法
sudo service httpd restart
と実行して、メッセージが表示されたら、その指示に従って
/bin/systemctl restart
と実行してみてください。
Apacheが再起動できないときは、ステータス確認のコマンドを見るように、メッセージが表示されます。
service httpd status
エラーが出てサイトダウンしても慌てない
このコマンドだったと思いますが、エラーのときは慌てずに、ちゃんとコマンドラインに表示されたメッセージを読んでください。
私は、翻訳サイトを使い、Apacheのステータスを確認してくださいと分かりました。
そして、プライベートキーの設定が、おかしいと分かりました。
実際には、CSRのファイルで、余分な改行が入っていたのが、原因でした。
vimでコピーしてきたものを新規で貼りつけるときは、aで挿入にしてからペーストしてください。
そうしないと、キーの先頭の文字が崩れてしまいます。
サーバー更新時にサーバーがダウンした時に、チェックポイント
サーバーのログを確認して、もし秘密鍵のパスコートの処理があったり、秘密鍵のアクセスで止まっているときは、下記の記事のように、鍵に余分な文字が入ってるのが原因のようです。
下記のコマンドで、server.keyを作ると良いようです。
openssl rsa -in ssl.key -out nopass_ssl.key
Discussion