期限が来たのでFUJISSLってところで更新しました。
で、早速嵌るわけです。
今回は5年(最長)の期間にします。
更新自体は順調?に出来ていました。(ちょっと戸惑った)
その後、証明書の設置に失敗し(どれを使って良いのか判らなくなっていた)古い方と突き合わせ、Apacheを再起動しては立ち上がらなくて、証明書ファイルを入れ直しを繰り返し、漸く今立ち上がったところです。
二日掛かってしまいました。(^_^;;
次の更新時に悩まないように、その経過を書きます。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 |
# Server Certificate: # Point SSLCertificateFile at a PEM encoded certificate. If # the certificate is encrypted, then you will be prompted for a # pass phrase. Note that a kill -HUP will prompt again. Keep # in mind that if you have both an RSA and a DSA certificate you # can configure both in parallel (to also allow the use of DSA # ciphers, etc.) # Some ECC cipher suites (http://www.ietf.org/rfc/rfc4492.txt) # require an ECC certificate which can also be configured in # parallel. # サーバー証明書: # SSLCertificateFile を PEM エンコードされた証明書に指定します。 # 証明書が暗号化されている場合は、パスフレーズの入力を求められます。 # kill -HUP を実行すると、再度プロンプトが表示されることに注意して # ください。RSA 証明書と DSA 証明書の両方がある場合は、両方を並行し # て構成できます (DSA 暗号の使用も許可するためなど)。 # 一部の ECC 暗号スイート (http://www.ietf.org/rfc/rfc4492.txt) では、 # ECC 証明書が必要ですが、これも並行して構成できます。 SSLCertificateFile "/opt/local/etc/apache2/conf/server.crt" # Server Private Key: # If the key is not combined with the certificate, use this # directive to point at the key file. Keep in mind that if # you've both a RSA and a DSA private key you can configure # both in parallel (to also allow the use of DSA ciphers, etc.) # ECC keys, when in use, can also be configured in parallel # サーバー秘密鍵: # キーが証明書と結合されていない場合は、このディレクティブを # 使用してキーファイルを指定します。RSA と DSA の秘密鍵の両方 # がある場合は、両方を並行して構成できます (DSA 暗号の使用も # 許可するためなど)。ECC キーを使用する場合は、並行して構成す # ることもできます。 SSLCertificateKeyFile "/opt/local/etc/apache2/conf/none-pass-server.key" # Server Certificate Chain: # Point SSLCertificateChainFile at a file containing the # concatenation of PEM encoded CA certificates which form the # certificate chain for the server certificate. Alternatively # the referenced file can be the same as SSLCertificateFile # when the CA certificates are directly appended to the server # certificate for convenience. # サーバー証明書チェーン: # SSLCertificateChainFile を、サーバー証明書の証明書チェーンを形成 # する PEM エンコードされた CA 証明書の連結を含むファイルにポイント # します。または、便宜上、CA 証明書がサーバー証明書に直接追加されて # いる場合は、参照されるファイルは SSLCertificateFile と同じにするこ # とができます。 SSSLCertificateChainFile "/opt/local/etc/apache2/conf/server.ca" |
もうね、判らないものだから、Googleさんに翻訳して貰い、それでもapacheは立ち上がってくれなくて、泣きそうです。
sudo openssl genrsa -des3 2048 >servername.key
sudo openssl req -new -key servername.key -out server.csr -sha256
で鍵ペアと証明書を作り、証明書を送ったらサーバー証明書が届きました。
この時点でmail serverは動いていないので(未だ嵌ったままなのです)、DNS認証と、HTTPS認証で確認して貰いました。
次にSecigoからサイト証明書添付のメールが届いたので、それを使ったのが失敗でした。
そのまま置き換えたので、中間証明書が無かったのです。
そしてSectigoのサポートページに行ったら証明書が4つ在りました。
何も考えずに順番に置き換えるという紆余曲折の元、色々とwebを彷徨っていると、纏めてくっ付けちゃうらしい。
そうだったのか〜。(^_^;;
その後、FUJISSLからメールが届いているのに気付き、そちらを見たら3つの中間証明書がくっ付いているのを発見。
最初からこれ使っていれば悩むことも無かった………。
と今に至っている訳です。
ちゃんとメールは最後まで見ましょうね。(後ろの方にあったので読み飛ばしていました……馬鹿だね〜(^_^;;)
で、
SSLCertificateFileは届いたサイト証明書ファイル。
SSLCertificateKeyFileは証明書を作るに使った、鍵ペア(何故ペアなのかは知らない)ファイル。
SSSLCertificateChainFileはFUJISSLから届いた中間証明書ファイル。
となる様です。
今回も
openssl rsa -in server.key -out non-pass-server.key
とパスワードを解除してます。
shellでパスワード入力させても良いけれど、面倒だし。
自分で作った証明書を使うものだと思っていたので、中間証明書が在ってもApacheさんは動かなかった模様。
自分で作った証明書は使わないのか?(何んと云うか勿体無い)
次に更新時、これ読んでくれるかなぁ。>未来の自分
書いたこと忘れていそうだなぁ。
5年も先だしなぁ。