| | 437 | == SSL 証明書を更新 == |
| | 438 | |
| | 439 | 前回はここでドメイン参照先の変更を行ったが、今回はそこは最後に回すことにする。 |
| | 440 | |
| | 441 | 基本的には前回と同様。以下、気になる点、および差異をメモ。 |
| | 442 | |
| | 443 | * [http://www.rapidssl.com/ RapidSSL] の Reissue SSL 申し込みフォームにおいて、 Firefox では CAPTCHA が表示されなかった。仕方なしに IE でアクセスしたのだが、これは SSL 認証局のあり方としてどうなんだろう…。 |
| | 444 | * 秘密鍵生成時に指定するデータ長は、 RapidSSL でも現在 2048 bits 以上が必須となっている点に注意。前回は 1024 でやっていたが、今回は 2048 で鍵を生成した。 |
| | 445 | {{{ |
| | 446 | $ openssl genrsa -out developer.harapeko.jp.key 2048 |
| | 447 | $ openssl req -new -key developer.harapeko.jp.key -out developer.harapeko.jp.csr |
| | 448 | }}} |
| | 449 | * 承認を済ませると、SSL 証明書がメールで送られてくるが、 2つ書かれているように見える証明書らしきものの後者は中間証明書である。[https://knowledge.rapidssl.com/support/ssl-certificate-support/index?page=content&id=SO6252&actp=search&viewlocale=en_US&searchid=1291957903082 RapidSSL 公式の説明]に基づき、こちらは intermediate.crt ファイルに保存した上で、 /etc/httpd/conf.d/ssl.conf ファイル中の SSLCertificateChainFile ディレクティブ (SSLCACertificateFile ディレクティブ'''ではなく''') に設定する。 |
| | 450 | {{{ |
| | 451 | SSLCertificateFile /etc/httpd/conf/ssl/developer.harapeko.jp.crt |
| | 452 | SSLCertificateKeyFile /etc/httpd/conf/ssl/developer.harapeko.jp.key |
| | 453 | SSLCertificateChainFile /etc/httpd/conf/ssl/intermediate.crt |
| | 454 | }}} |
| | 455 | * バージョンの違い故か、もしくは Scientific Linux を採用したが故か、 https://developer.harapeko.jp/ にアクセスした際に表示される 403 ページがあんまり 403 ページらしく見えないが、ヘッダ情報を確認したところちゃんと 403 ページだった。ちなみに前回は何らかの内容が表示されるようなことを書いているが、 https プロトコル用の DocumentRoot は http プロトコル用のそれとは別にしてあるので、ファイルが存在せず、 Forbidden となるのが正しい。 |
![(please configure the [header_logo] section in trac.ini)](/trac/original/ideanote/chrome/site/your_project_logo.png){kind=logo}
