SHA1からSHA2への移行手順 | no news.

SHA1からSHA2への移行手順

環境

OS

  • Ubuntu 14.04 server

Web サーバ

  • nginx 1.7.10

利用したSSL販売会社

再発行にかかる費用

SSLボックスの場合、無料

現在解決できていない問題

中間証明書に含まれるGeoTrust Global CAの署名アルゴリズムがSHA-1のままである

証明書関連ファイル

新証明書

/usr/lib/ssl/private/server.sha2.crt

中間証明書

/usr/lib/ssl/private/RapidSSLBundle.txt

nginx用証明書

/usr/lib/ssl/private/server.nginx.crt

 nginxのSSL設定(ファイルに関する箇所のみ抜粋)

ssl_certificate /usr/lib/ssl/private/server.nginx.crt;

 移行手順

証明書の再発行申請

1. SSLボックス管理画面にアクセスし、SHA-2に移行したいドメイン横にある「管理画面」ボタンをクリックする。

2. 画面下部にある「再発行手続き」ボタンをクリックする。

3. 再発行申請を行う。この時署名アルゴリズムとしてSHA-2(SHA256)を指定する。同時にCSRも入力する。ちなみにSSLボックスの場合、最初に登録したCSRを再利用できるので手間が少なくてすむ。完了したら「次へ進む」をクリックする。

4. 申請登録情報を入力する。この際メールアドレスを指定するが、後に承認メール・証明書がこのメールアドレスに送られてくるのでちゃんと受信できるようにしておくこと。完了したら「次へ進む」をクリックする。

5. 申請内容の確認画面が表示されたら「次へ進む(申請を確定します)」をクリックする。

6. しばらくすると再発行申請時に指定したメールアドレスに、件名:RapidSSL Certificate Request Confirmationの再発行申請の承認メールが届く。メール中のリンクをクリックし承認ページが表示されたら承認をクリックする。

7. しばらくすると証明書発行のお知らせメールが届く。件名はSubject: MYDOMAIN.COM RapidSSL Order:xxxxxxxx CompleteSSLボックスの管理画面にアクセスしダウンロードしておく。ダウンロードしたらserver.sha2.crtにリネームしておく。

8. RapidSSL社のサイトから中間証明書をコピーしてテキストファイル:RapidSSLBundle.txtとして作成する。この時RSA SHA-2 (under SHA-1 Root) SSL CertificatesCA Bundleのリンクからコピーすること。(ぶっちゃけここ)なお改行コードはLFとしておくこと。

9. webサーバにserver.sha2.crtとRapidSSLBundle.txtをアップロードする。

nginx用証明書の作成

概要

nginxの場合はapacheと違い、SSL証明書と中間証名を分けて指定できない。そのため新証明書(server.sha2.crt)と中間証明書(RapidSSLBundle.txt)を一つのファイルにまとめる必要がある。内容としては新証明書の下に中間証明書が追記されるような形にする。

作成手順

1. 現在利用している証明書関連のファイルをすべてバックアップしておく。

2. アップロードした証明書ファイルを/usr/lib/ssl/private/以下にコピーする。

3. webサーバにsshにてログインし、下記コマンドを実行する。

# cd /usr/lib/ssl/private
# cat server.sha2.crt RapidSSLCABundle.txt >server.nginx.crt

4. nginxを再起動する。

5. QUALYS SSL LABのSSL Server Testにアクセスし、設定したサーバのURLを入力・テストしてみる。Signature algorithmがSHA256withRSAになっていれば設定完了。

※GeoTrust Global CAについてはSignature algorithmが「SHA1withRSA   WEAK」と表示されるが致し方なし(?)

その他

不明な点は下記より検索してください。

スポンサーリンク
レクタングル大

シェアする

  • このエントリーをはてなブックマークに追加

フォローする