COMODOでSSL証明書を購入して更新した

どうもちぇりおです。
生きてます。

このサイトのSSL証明書が使えなくなったのでCOMODOでSSL証明書を購入し更新しました
備忘録的に記録を残そうとおもう

バイク関係の記事でも書くかなと思っていたら、SSL証明書がブラウザではじかれた。
今まではStartSSL使っていたのだけど、StartSSLが中国の企業に買われた。
その中国の企業が証明書の発行が適当だったのと、StartSSL買収を公表してなかったことで、StartSSLも信用できねーってことになったらしい。

Lets Encryptも考えたのだけど、証明書を自動更新しないといけなくて、サービス開始直後に調べた感じではまだあんまり更新するのがこなれてないかな?とおもったので、今回はSSL証明書を購入することにした。

調べてると、1ドメインなら年1000円ちょっとくらいで買える模様。
いくつかサブドメイン運用してるのもあって、マルチドメインにしようかなとおもったのだけど、サブドメイン増やす可能性があるのと、許容範囲だったので、COMODOのPositiveSSLのワイルドカードを買ってみました。

まず疑似乱数を生成

openssl md5 * > rand.dat

生成した疑似乱数から、秘密鍵を作る。

openssl genrsa -rand rand.dat -des3 2048 > cherryblossom.jp.2017.key.pem

パスフレーズを入力する

生成した秘密鍵を使ってCSRを生成する。

openssl req -new -key cherryblossom.jp.2017.key.pem -out cherryblossom.jp.2017.csr.pem

秘密鍵のパスフレーズを求められるので入力する。
続けてディスティングイッシュネームを入力する。

Country Name (2 letter code) [AU]:JP
State or Province Name (full name) []:Tokyo
Locality Name (eg, city) []:Chofu-shi
Organization Name (eg, company) []:cherrywo
Organizational Unit Name (eg, section) []:System Administration
Common Name (eg, YOUR name) []:*.cherryblossom.jp
Email Address []:
A challenge password []:
An optional company name []:

Organization Name は個人なのでどうしたもんかとおもって、cherryblossom.jpにしようかとおもったけど、ドメインと同じだし、審査で引っかかっても嫌だなとおもって、H.N.にした
Organizational Unit Name は組織の部署名で、省略可のはずなんだけど、購入先に必須って書いてあるから、System Administration ってそれっぽいのを
Common Name はFQDN指定するんだけど、ワイルドカードなので、 *.cherryblossom.jp
最後の3つは空欄でってことなので空欄にした。

で、生成したCSRをコピペして購入申請。

ドメインの所有者確認は、いくつか方式があるけど、メールにした。
webmaster宛てにメールが送られてきて、メールに記載のURLを開く。
同じくメールに記載されているパスコードをコピペして入力したら終わり。
すぐに証明書が送られてきた。早い!

サーバに設置するにあたって、秘密鍵を復号化してパスフレーズを抜く。

openssl rsa -in cherryblossom.jp.2017.key.pem -out cherryblossom.jp.2017.decrypt.key.jp

COMODOは中間証明書が2枚あるので、1枚に結合する。

cat COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt > COMODO.crt

今の Web Server は apache なので、ディレクティブに指定する。

SSLCertificateFile /etc/ssl/certs/cherryblossom.jp.2017.crt
SSLCertificateKeyFile /etc/ssl/certs/cherryblossom.jp.2017.decrypt.key.jp
SSLCertificateChainFile /etc/ssl/certs/COMODO.crt

なお、指定した証明書は、権限を root での 644 にしておく。
apache を再起動して反映終わり。

Qualys SSL Labs社が提供する SSL Server Test でA+を取得したのも一緒に書こうかなと思ったけど思ったより長くなったので、別にエントリすることにした。

スポンサーリンク
レクタングル(大)広告
レクタングル(大)広告

フォローする