2014-06-06 (金)
OpenSSLを更新するついでにSSL証明書を更新.
*StartSSLのSSL証明書の更新手順メモ
Webサーバの証明書はたまに作るので大体大丈夫.忘れそうで危ないのはクライアント証明書.これも1年で切れる.
- "Validations Wizard"の"Email Address Validation"でメールアドレスを認証
- "Certificates Wizard"で "S/MIME and Authentication Certificate"からクライアント証明書を発行
- 正常に発行されるとそのままインストールされるので,念のためエクスポートしてバックアップ
次にWebサーバの証明書を更新.すでに使ってる秘密鍵がある前提.
- CSRを作る: openssl req -new -key 秘密鍵 -out CSRファイル.csr
- "Validations Wizard" でドメインを認証する
- "Certificates Wizard"で "Web Server SSL/TLS Certificate"
- 秘密鍵作れという画面が出るけど,自前のがあるので "Skip"
- フォームにcsrのテキストを張り付ける
- SSLを使うドメイン選んで,ホスト名を入れる
- pem形式の証明書が出てくるので保存
あとは,ApacheとかNginxに設定.NginxはCA証明書とかの設定はないのでつなげてchainedな証明書にする.
更新時期がばらばらだと面倒なので,全ドメインの証明書を再発行しておこうと思ったけど,期限が迫っていない証明書は一度無効にしてからじゃないと再発行できなかった.そして,StartSSLは証明書の Revocation Requestには$25くらいかかる.悩ましい.