こんにちは、サポート担当の大谷です。
本日はSSL更新作業についてのお話です。
かなり過去にWndowsServerにてIISへの証明書インストールは経験があったのですが、linux環境では経験がなく、依頼が来たら別の担当者に任せきりの状態でした。
ちょうどお客様から更新の依頼をいただき、いいタイミングなので手順を確認しておこうと思い立ったため、今回のテーマとさせていただきます。
1.秘密鍵とCSRの発行
openssl req -new -newkey rsa:2048 -nodes -keyout [秘密鍵のファイル名] -out [CSRのファイル名]
ディスティングイッシュネームをそれぞれ入力します。
完了後、発行されたCSRを発行業者さんに送って証明書を発行してもらいます。
また、発行業者さんのサイト上で中間証明書をダウンロードしておきます。
証明書の発行は数日間かかると思います。
2.発行されたWebサーバ証明書と中間証明書を連結する。
それぞれをエディタで開いて連結します。
環境により順番が違うとうまく行かない事があるようですので、その場合は順番を逆にしてみると行ける事があるみたいです。
3.2で連結した証明書と、秘密鍵をディレクトリに追加する。
/etc/nginx/ssl へファイルを追加します。(環境により異なるかも)
以前の証明書と秘密鍵ファイルは残しておきましょう。
上書きしてしまうと、何か問題があった時に戻せなくなります。
4.nginxの設定ファイルを開き、証明書と秘密鍵のパス、ファイル名を指定する。
server {
listen 443 default ssl;
ssl on;
ssl_certificate /etc/nginx/ssl/[証明書のファイル名];
ssl_certificate_key /etc/nginx/ssl/[秘密鍵のファイル名];
listen 443 default ssl;
ssl on;
ssl_certificate /etc/nginx/ssl/[証明書のファイル名];
ssl_certificate_key /etc/nginx/ssl/[秘密鍵のファイル名];
ssl_certificate、ssl_certificate_keyを今回取得した新しいファイル名に変更します。
5.nginxを再起動する。
nginx -s reload
以上で作業は完了です。ブラウザで証明書の期間が更新されているか確認しましょう。
ところで、中間証明書って何で必要かご存知ですか?
私は今まで特に考えた事がなくて、普通に必要なものという認識でスルーしてました。
なぜ?と思ったので調べてみたのですが・・・
なになに・・・ルート証明書の秘密鍵が漏洩した場合に、その認証局から発行された証明書全てに影響が及ぶため、中間証明書が間に入ってそのような事態でも影響を押さえる事が出来る。
うん、やっぱりよくわからん(笑)
証明書によるサーバー認証の手順は色々調べて理解しても、なぜか?の部分に未だモヤモヤがかかってスッキリしない・・・。
誰か理解できるくらいにわかりやすく教えてくれないだろうか。
