内容へ移動
ゆーものメモ帳
ユーザ用ツール
管理
ログイン
サイト用ツール
検索
ツール
文書の表示
以前のリビジョン
バックリンク
最近の変更
メディアマネージャー
サイトマップ
ログイン
>
最近の変更
メディアマネージャー
サイトマップ
トレース:
サーバ:ssl証明書:let_s_encrypt_から_digicert_のssl証明書に移行
この文書は読取専用です。文書のソースを閲覧することは可能ですが、変更はできません。もし変更したい場合は管理者に連絡してください。
====== Let's Encrypt から DigiCert のSSL証明書に移行 ====== 基本的に公式サイトにある「インストール手順書」通りに進めれば問題ない。\\ 今回は、先方から「SSL証明書」「秘密鍵」「中間証明書」を頂いたので、それらをインストールする手順のみを記載。\\ 実施した環境は\\ CentOS 7.5 / Apache 2.4 ==== 1.ファイルをFTPなどでサーバにアップロードする ==== <code> # 証明書を確認 $ sudo openssl x509 -in /home/centos/cert.cer -noout -subject $ sudo openssl x509 -in /home/centos/chain.cer -noout -subject </code> 今回この時点で[[サーバ:SSL証明書:no start line pem_lib.c 707 Expecting TRUSTED CERTIFICATE|「no start line:pem_lib.c:707:Expecting: TRUSTED CERTIFICATE」というエラーが発生]]。 詳細はリンク先に記載(単にファイルの保存形式が「BOM有、CR+LF」になっていただけ)。 証明書に問題がなければ、証明書を移動する。 <code> # ssl.conf の設定確認 $ sudoedit /etc/httpd/conf.d/ssl.conf 100 SSLCertificateFile /etc/pki/tls/certs/localhost.crt 107 SSLCertificateKeyFile /etc/pki/tls/private/localhost.key 116 #SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt # デフォルトでは、/etc/pki/tls/certs/ と /etc/pki/tls/private/ が使われているので、そこに移動する $ sudo mv /home/centos/cert.cer /etc/pki/tls/certs $ sudo mv /home/centos/chain.cer /etc/pki/tls/certs $ sudo mv /home/centos/key.pem /etc/pki/tls/private # パーミッションと所有権の変更 $ sudo chmod 600 /etc/pki/tls/certs/cert.cer $ sudo chown root:root /etc/pki/tls/certs/cert.cer $ sudo chmod 600 /etc/pki/tls/certs/chain.cer $ sudo chown root:root /etc/pki/tls/certs/chain.cer $ sudo chmod 600 /etc/pki/tls/private/key.pem $ sudo chown root:root /etc/pki/tls/private/key.pem # 確認 $ ls -la /etc/pki/tls/certs $ ls -la /etc/pki/tls/private </code> ==== 2.証明書のパスを書き換える ==== Let's Encrypt の証明書をインストール時に「vhost-le-ssl.conf」が作成されていたので、今回はそのパスを変更する。 <code> $ sudoedit /etc/httpd/conf.d/vhost-le-ssl.conf # 古いSSL証明書をコメントアウト # SSLCertificateFile /etc/letsencrypt/live/example.com/cert.pem # SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # SSLCertificateChainFile /etc/letsencrypt/live/example.com/chain.pem # 新しいSSL証明書 SSLCertificateFile /etc/pki/tls/certs/cert.cer SSLCertificateKeyFile /etc/pki/tls/private/key.pem SSLCertificateChainFile /etc/pki/tls/certs/chain.cer </code> このとき、以下の設定ファイルをインクルードしている箇所はコメントアウトせずに残す。 <code> Include /etc/letsencrypt/options-ssl-apache.conf </code> このファイルには以下のような、SSLに関する設定や、LogFormatなどが記載されているので、そのまま使わせて貰います。 <code> $ sudoedit /etc/letsencrypt/options-ssl-apache.conf SSLEngine on SSLProtocol all -SSLv2 -SSLv3 </code> ちなみに私は、この設定ファイルのインクルードをコメントアウトしてしまい、Apache の再起動に失敗し、暫く悩む羽目になりました。 詳細は [[サーバ:SSL証明書:Apache の再起動に失敗|Apache の再起動に失敗]] に記載。 ==== 3.Apache の再起動 ==== 構文チェックを行い、問題なければ再起動する。 <code> # 構文チェック apachectl configtest # 再起動 sudo apachectl graceful </code> サイトにアクセスし、証明証が新しくなっていることを確認する。 ==== 4.使わなくなった Let's Encrypt のSSL証明書を削除 ==== <code> # SSL証明書を確認 sudo ls -la /etc/letsencrypt/live/example.com # SSL証明書を削除 sudo certbot revoke --cert-path=/etc/letsencrypt/live/example.com/cert.pem # 削除されたことを確認 sudo ls -la /etc/letsencrypt/live </code> これで完了です。
サーバ/ssl証明書/let_s_encrypt_から_digicert_のssl証明書に移行.txt
· 最終更新: 2022/12/13 17:11 by
humolife
ページ用ツール
文書の表示
以前のリビジョン
バックリンク
文書の先頭へ