読者です 読者をやめる 読者になる 読者になる

AWS ELBのSSLサーバ証明書更新

ここではAWS上のELBのサーバー証明書更新をするまでの流れを備忘的にまとめたものになります。以下適宜情報を追記して詳しくしていく予定ですが、一端公開(2017/03/17)

 

1.証明書CSR作成のための情報を集める

ドメイン取得済みならそのWho is設定(お名前.comの代行サービス等を利用している場合は除く)に合わせてやるとよいかも

###更新するための情報を確認 (全て英語入力となります)
●コモンネーム:hoge.com (ワイルドカードなら *.hoge.com 等)
●正式組織名※ (Organization Name):
●部門名 (Organizational Unit):
●市区町村名※ (Locality):
都道府県名※ (State or Province):

●国名※ (Country) :

 

2.証明書CSR作成(Amazon Certificate Managerを利用する場合は本作業は必要ありません。)

 

3.作成したCSRを用いてRappidSSLの証明書を入手する。(ここではSSLストアを利用します。)

 

4.CSR情報共有後、送られてくる証明書を有効にする又は

認証後に証明書が送られてくるため承認メールを届くようにする。

ドメインを先に取得していればwhoisのメールアドレスを利用することが出来るが、ドメイン取得前なら以下の作業が必要となる。またwhoisの代行設定サービスを利用している場合にも、その設定をきるか以下の認証メールを受け取れるよう作業を行うかする必要がある。

----------------------------------------------------------------------------------------------------------

エイリアス確認コマンド

メール関係のエイリアス設定、対応サーバのドメインへくるメールを確認できるメールアドレスに転送するのに使用する

/etc/aliases

(例

admin:          technicalmail@xxxxxx.co.jp

adminというユーザーへのメールをtechnicalmail@xxxxxx.co.jpへと転送する

ポートが空いてるかに注意!

また先にWho is情報があるならそちらのメールアドレスを設定したほうが早い

 

メールボックスを確認

/var/spool/mail/ユーザ名

 

# newaliases

にて設定した内容を反映させる

 

メールををテスト送信し、メールが届くかを確認する。

----------------------------------------------------------------------------------------------------------

 

5.メールにて届いたサーバ証明書と入手又はサーバ証明書と同時に送られてきた中間証明書が正しいかの確認

・サーバーに作成したCSR秘密鍵ファイルをアップロード

-rw-rw-r-- 1 hoge hoge 1021  2月 11 11:11 hoge.com.20170211.csr
-rw-rw-r-- 1 hoge hoge 1704  2月 11 11:11 hoge.com.20170211.key

・メールより入手したcrt (サーバ証明書)とchain.crt (中間証明書)をサーバーへ

ここではWinSCPでファイル転送を行わず、viからのコピペにて対応

$ vi hoge.com.crt

$ vi hoge.com.chain.crt

まとめると、検証のためのファイルは以下の4つを使用することになる。

$ ls -l                                                                          
合計 16

-rw-rw-r-- 1 hoge hoge 1021  2月 11 11:11 hoge.com.20170211.csr
-rw-rw-r-- 1 hoge hoge 1704  2月 11 11:11 hoge.com.20170211.key

-rw-rw-r-- 1 hoge hoge 1550  2月 11 11:11 hoge.com.chain.crt
-rw-rw-r-- 1 hoge hoge 1968  2月 11 11:11 hoge.com.crt

 

秘密鍵から公開鍵の生成

$ openssl rsa -in hoge.com.20170211.key -pubout

writing RSA key
-----BEGIN PUBLIC KEY-----
文字列
-----END PUBLIC KEY-----

・中間証明書の確認

$ openssl x509 -in hoge.com.chain.crt -noout -subject -dates

subject= /C=hoge/O=hoge Inc./CN=hoge
notBefore=Dec 4 23:45:51 2013 GMT
notAfter=May 13 23:45:51 2022 GMT

・証明書の確認

 $ openssl x509 -in hoge.com.crt -noout -subject -issuer -dates -pubkey

subject= /CN=hoge.com
issuer= /C=hoge/O=hoge Inc./CN=hoge
notBefore=Feb 7 00:00:00 2012 GMT
notAfter=Mar 9 23:59:59 2022 GMT
-----BEGIN PUBLIC KEY-----
文字列
-----END PUBLIC KEY-----

  1. subjectのCNがサイトのFQDNと一致していること

  2. issuerが中間証明書のsubjectと一致していること

  3. 証明書が期限内のこと(notBefore/notAfter参照)

  4. PUBLIC KEYが秘密鍵から生成したものと一致していること

以上4点を確認して問題なければ、証明書更新の下準備は完了となります。

 

6.届いた証明書を確認後対象に登録する

参考は以下の本家様サイト

http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/classic/elb-update-ssl-cert.html