SSL証明書の有効期限が近づいた
################# SSL Certificate Warning ################
Certificate for hostname ‘*.ivoryworks.com’, in file:
/etc/pki/tls/certs/server.pem
The certificate needs to be renewed; this can be done
using the ‘genkey’ program.
Browsers will not be able to correctly connect to this
web site using SSL until the certificate is renewed.
##########################################################
Generated by certwatch(1)
SSL証明書の有効期限が近づいているという警告が届いたので証明書の更新を行った。
サーバー用秘密鍵作成
# cd /etc/pki/tls/certs
# openssl genrsa -out server.key -des3 1024
server.keyが置いてあるディレクトリへ移動して新たに鍵を生成する。パスフレーズ求められる。
パスフレーズを削除する
# openssl rsa -in server.key -out server.key
先ほど設定したパスフレーズを削除する。サーバ用秘密鍵からパスワードを削除するのは、apache起動時にパスワードを要求されないようにするためである。
サーバー用公開鍵作成
# openssl req -new -key server.key -days 365 -out server.csr
Country Name (2 letter code) [GB]:JP
State or Province Name (full name) [Berkshire]:Gunma
Locality Name (eg, city) [Newbury]:Takasaki
Organization Name (eg, company) [My Company Ltd]:Ivoryworks.com
Organizational Unit Name (eg, section) []:(ENTER)
Common Name (eg, your name or your server s hostname) []:*.ivoryworks.com
Email Address []:(mailaddr)
A challenge password []:(ENTER)
An optional company name []:(ENTER)
サーバー用証明書作成
# openssl x509 -in server.csr -out server.pem -req -signkey server.key -days 365
365日の有効期限を設定する。
# chmod 400 server.*
各ファイルを所有者(root)のみ参照できるようにパーミッション変更
以下は既に設定済みだが備忘録として記録しておく。
SSL設定
/etc/httpd/conf.d/ssl.conf
/* サーバ用証明書を指定 */
SSLCertificateFile /etc/pki/tls/certs/server.pem
/* サーバ用秘密鍵を指定 */
SSLCertificateKeyFile /etc/pki/tls/certs/server.key
/* エラーログ */
ErrorLog logs/ssl_error.log
TransferLog logs/ssl_access.log
CustomLog logs/ssl_request.log