SSL証明書購入前にすることに追記してもいいかもだがタイトルを分けたかったので別記事として書く。
仕事で有料のSSL証明書 新規取得や更新の際にいつも調べ直すハメになってるので、調べる時間を短くする為、メモ。
SSL証明書取得→登録までの流れ
- 秘密鍵とcsrを作成する
- 秘密鍵を作成
- 個人的に
秘密鍵を作成するときパスフレーズを空にして作成したほうが良い- パスフレーズを空にして秘密鍵を作成することはできない。パスフレーズ空で秘密鍵を作成しようとすると、以下のようなメッセージが出力される
- 139780696586128:error:28069065:lib(40):UI_set_result:result too small:ui_lib.c:831:You must type in 4 to 1023 characters
- なのでまず、秘密鍵をパスフレーズ有りで作成して、CSR作成前かCSR作成後にパスフレーズを解除する。
- CSR作成では、パスフレーズ有りの秘密鍵を使おうがパスフレーズ無しの秘密鍵を使おうが、同じ内容のCSRが作成される
- 秘密鍵のパスフレーズを解除する理由は、パスフレーズありの秘密鍵を使用したままだと、以下のような不都合があるため。
- Apache再起動の度にパスフレーズを聞かれる
- WindowsのApacheでは使えない
- パスフレーズは上記のリンク先の方法で解除できる(=空にできる)
- パスフレーズを空にして秘密鍵を作成することはできない。パスフレーズ空で秘密鍵を作成しようとすると、以下のようなメッセージが出力される
- 個人的に
- 秘密鍵を使ってcsrを作成
- 秘密鍵のパスフレーズを解除する
- 秘密鍵を作成
- 証明書申し込みフォームで、csrを登録する
- admin@ドメイン などにメールが届き、承認作業を行う
- SSL証明書がメールで送られてくる
- 中間証明書も一緒に添付されることもある
- SSL証明書、秘密鍵、中間証明書(あれば)の3つを、Webサーバに登録する
ポイント:csrは、秘密鍵を利用して作成する
CLI(ターミナル上のコマンド操作)でcsrを作成する場合、csrを作成する際、材料として秘密鍵を利用する。
webのフォームで作成できるところなんかは、csrと秘密鍵を同時に作成してくれたりする。
SSL証明書更新の際、csrは過去のものを使い回すことができるが、セキュリティの観点から都度、更新すべき
※証明書の更新で、ディスティングイッシュネームが完全一致する場合(クイック認証の場合は、CommonName、Countryが一致している場合)は同じCSRでのお申し込み可能ですが、セキュリティの理由から、秘密鍵は毎回作成いただくことをお勧めいたします。
使いまわしている場合、利用できないところもある。↓
なお、FujiSSLではCSRの使いまわしのチェックを行っており、以前に利用されたCSRでの申請はエラーとさせていただいております。
コメント