カテゴリー: SSL証明書

■本記事の背景
(Javaの)keytoolsを使ってSSL証明書を更新する稀なケースが
ありました。
多くの人に聞いたり、検証を繰り返すなど、試行錯誤して証明書の
更新作業を実施することができましたので、下記に(Javaの)keytoolsの
更新作業を手順を記載します。※経験上、「3」の項目は、非常に大事なため、必ず実施頂いた方がよいと思います。

＜手順＞
1.対象サーバにログインします。

2.設定ファイルのバックアップ
D:\Tomcat70\conf\server.xmlを保管目的でコピーし、下記の名前をつけて保存する
ファイル名：server2018_0427_before.xml

3.導入（秘密）キーのバックアップ
D:\programfiles\java\jre7\bin のprivate2018_kensho_0427はコピーして下記の名前で
バックアップとっておく。
ファイル名：private2018_kensho_0427_1dounyuumae.key

4.証明書の準備
「ルート証明書」の内容を下記の名前をつけて保存。
kensho_0427_1_CaRoot.cer

＜中間CA＞
認証機関からのメールの「中間CA証明書」からリンクをたどり、
SSLサーバ証明書用　「中間CA証明書」の内容を下記の名前をつけて保存。
kensho_0427_1_server-ca2018.crt

＜サーバ証明書＞
認証機関からのメールの本文から

「■B) X.509形式 (Apacheを代表とするサーバ(Microsoft IIS以外)用)」の証明書を下記の名前で保存。
kensho_0427_1_server2018.crt

5.証明書の設置
D:\Program Files\java\jre7\bin\ に格納する

6.ルート証明書のインストール(kensho_0427_1_CaRoot.cer)
コマンドプロンプトから下記を実行する
keytool.exe -import -alias ca -file kensho_0427_1_CaRoot.cer -keystore private2018_kensho_0427 -storepass apple

7.中間証明書のインストール(kensho_0427_1_server-ca2018.crt)
keytool.exe -import -alias caroot -keystore private2018_kensho_0427 -trustcacerts -file kensho_0427_1_server-ca2018.crt
※ailias名：caroot

8.サーバ証明書のインストール(kensho_0427_1_server2018.crt)
keytool.exe -import -alias ringo -keystore private2018_kensho_0427 -trustcacerts -file kensho_0427_1_server2018.crt
※ailias名：ringo

※alias：kasai　※CSR作成時と同じもの

9.対象ファイルを移動させる
D:\Tomcat70\conf\SSL\2018\0427 にprivate2018_kensho_0427をコピーして貼り付ける

10.設定ファイルの編集
server.xml　を編集する
＜変更後＞
keystoreFile=”D:\Tomcat70\conf\SSL\2018\0427\private2018_kensho_0427 ”
keystorePass=”apple”
keyAlias=”apple”

11.サービスの再起動
Apache tomcat 停止　→　Apache tomcat　起動　を実行

12.証明書の更新確認
https:サイトのURL　をブラウザにうち、鍵マークの証明書の期限が延長されていることを確認します。

■本記事の背景
(Javaの)keytoolsを使ってSSL証明書を更新する稀なケースが
ありました。
多くの人に聞いたり、検証を繰り返すなど、試行錯誤して証明書の
更新作業を実施することができましたので、下記に(Javaの)keytoolsの
事前作業を手順を記載します。

＜手順＞
1.対象サーバにログインします。

2.パス移動
コマンドプロンプトから下記を実行
D：
cd D:\Program Files\java\jre7\bin
（keytool.exeが格納している場所まで移動する）
※補足
keytool.exeが0バイトの場合は、下記の配下からコピーする
Programfiles>Java>jdk17.5>bin

3.秘密キー作成
keytool.exe -genkey -alias apple -keyalg RSA -keysize 2048 -keystore private2018_kensho_0427.key

（入力例）
パスフレーズ：apple
姓名を入力してください：test1.co.jp
組織単位名を入力してください：information system
組織名を入力してください： TEST KOGYO CO., LTD
都市名または地域名を入力してください：SAITAMA
都道府県名を入力してください：KOSHIGAYA
この単位に該当する2文字の国番号を入力してください：JP

上記のコマンド例の場合、 private2018_kensho_0427.keyが出来ることを確認する

4.対象サーバにてCSRの作成
keytool.exe -certreq -sigalg SHA1withRSA -alias ringo -file server2018_kensho_0427_1.csr -keystore private2018_kensho_0427.key

上記のコマンド例の場合、 server2018_kensho_0427_1.csrが出来ることを確認する

5.CSRの情報を認証機関に申請します。

■本記事の背景
通常、SSL証明書が入っているサーバは、Apacheを使っている
ことが多いため、IISでSSL証明書を更新する機会があまり、ありませんでした。
そのため、手順の確認から作業の時間を多くかかってしまいました。

このブログを参照頂ければ、更新に伴う手順がわかるよう記載致します。

＜手順＞
1.対象サーバにログインします。

2.証明書の設置
インターネットインフォメーションサービス（IIS）マネージャを開き、
サーバ証明書アイコンをダブルクリックします。

右側の操作メニューの、「証明書の要求の完了」をクリックします。

フレンドリ名を付けてOKをクリックします。
例）
フレンドリー名： verisign2018

■注意事項■

Windows 7 / Windows Server 2008 R2 環境のIIS 7.5では、PKCS7形式の証明書をインストールする際「この証明書ファイルに関連付けられた証明書の要求が見つかりません。要求を作成したコンピュータで、証明書の要求を完了する必要があります。」というメッセージが表示されることを確認しております。
警告が表示されますが、証明書のインストールはされておりますので、キャンセルボタンで画面を閉じ次のステップにお進みください。

左側「接続」メニューで証明書の設定を行う「Webサイト」を選択し、
右側「操作」メニューの「バインド」をクリックします。

既にhttpsのバインド設定が存在しますので、それを選択して「編集」
ボタンを押します。
httpsのバインド設定を行い、先程設定したコモンネームをプルダウンから選択し、OKをクリックします。

3.証明書の更新確認
https:サイトのURL　をブラウザにうち、鍵マークの証明書の期限が延長
されていることを確認します。

■本記事の背景
通常、SSL証明書が入っているサーバは、Apacheを使っている
ことが多いため、IISでSSL証明書を更新する機会があまり、ありませんでした。
そのため、手順の確認から作業の時間を多くかかってしまいました。

このブログを参照頂ければ、手順やCSRの作成方法がわかるよう
手順を記載しております。

＜手順＞
1.対象サーバにログインします。

2.CSRを作成します。
サーバマネージャ＞役割＞Webサーバ（IIS）＞インターネットオプション
サーバ証明書アイコンをダブルクリックします。
右側の操作メニューから、「証明書の要求の作成」をクリックします。

証明書のプロパティが表示されるので、必要事項を入力します。
例）
一般名：www.test-net.co.jp
組織：test CO.,LTD
組織単位：soumu
市区町村： shinagawaku
都道府県：tokyo
国/地域：jp

暗号化サービス プロバイダは「Microsoft RSA SChannel Cryptographic Provider」、
ビット長は「2048bit以上」を選択して次へ進みます。

CSRファイルの保存先を指定し、終了ボタンを押します。

3.証明書・秘密鍵のバックアップを取得します
インターネットインフォメーションサービス（IIS）マネージャを開き、
サーバ証明書アイコンをダブルクリックします。
バックアップ対象の証明書を選択して右側の[操作]から[エクスポート]を
クリックします。

4.認証機関に申請します。

■本記事の背景
Apacheを使った、SSL証明書の更新作業を初めて実施する際、
認証機関からメールの”どの内容、及び、”どのリンク”から証明書を
参照（コピー）にするかに悩みました。
悩むことなく、更新作業ができるよう、下記に作業手順を記載しました。

＜手順＞

1.対象サーバにログインします。

2.作業パスに移動します
cd /etc/pki/tls/certs/

3.作業用のディレクトリを作成し、移動します。
mkdir 2018
cd 2018

4.証明書を導入するファイルを作成します。
■サーバ証明書
touch /etc/pki/tls/certs/2018/2018.cer
■中間証明書
touch /etc/pki/tls/certs/2018/2018-ca.crt

5.サーバ証明書の設置
vi 2018.cer
※viはファイルの中身を編集するコマンド

※認証機関メールの文中の下記を貼り付ける。
■B) X.509形式 (Apacheを代表とするサーバ(Microsoft IIS以外)用)

6.中間証明書の設置
vi 2018-ca.crt
※viはファイルの中身を編集するコマンド

※メールのリンクから該当証明書を貼り付ける。
※署名：SHA-2/2048bit を選択したものを貼り付けます。

7.設定ファイルの編集
cd /etc/httpd/conf.d/
vi ssl.conf

下記になっていることを確認します。
SSLCertificateFile /etc/pki/tls/certs/2018/2018.cer
SSLCertificateKeyFile /etc/pki/tls/private/2018test.com.key
SSLCertificateChainFile /etc/pki/tls/certs/2018/2018-ca.crt

8.プロセスIDの確認します
ps agx | grep httpd

9.apache（サービス）の再起動します
service apache restart

10.apache（サービス）の状態を確認します
service apache status
※「実行中…　」になっていることを確認します。

11.証明書の更新確認
https:サイトのURL　をブラウザにうち、鍵マークの証明書の期限が
延長されていることを確認します。

例

■本記事の背景
Apacheを使った、SSL証明書の更新作業を初めて実施する際、コマンドの内容、申請の仕方がわからず、時間を浪費し、苦労がありましたので、下記に「事前作業」、認証機関への「申請方法」を纏めることにしました。

＜手順＞
1.対象サーバにログインします。

2.作業ディレクトリに移動します。
cd /etc/httpd/conf.d/
※cd は移動するコマンドです。　書式：cd (option) /directory name
※今回作業ディレクトリは、 /etc/httpd/conf.d/　とします。

3.現行の設定ファイルを作業前にコピーします。
cp -p ssl.conf ssl.conf.2018
※cpはcopyコマンドです。　書式：cp [オプション] コピー元 コピー先

4.praivate(秘密キー作成)のディレクトリに移動
cd /etc/pki/tls/private/

5.秘密キーとCSRキー作成します。
＜秘密キー作成＞
openssl genrsa -out 2018test.com.key 2048
※2018test.com.key という名前の秘密キーを作成します。
＜CSR作成＞
openssl req -new -key 2018test.com.key -out 2018test.com.csr
※2018test.com.csrという名前の秘密キーを作成します。
★ポイント
秘密キー（2018test.com.key）を使って、 2018test.com.csrを作成しているので秘密キー名を間違わないよう気を付けて下さい。

CSR情報登録

■Country(国名)
Country Name (2 letter code) [AU]:JP
■State(都道府県名)
State or Province Name (full name) []:Tokyo
■Locality(市区町村名)
Locality Name (eg, city) []:Kanagawa
■Organization(組織名)
Organization Name (eg, company) []:test.CO.Ltd
■Organization Unit(部門名)
Organizational Unit Name (eg, section) []:test Department
■Common Name(コモンネーム)
Common Name (eg, YOUR name) []:www.test.com

※下記はエンターで飛ばしてOK※
Email Address []:
A challenge password []:
An optional company name []:

6.CSRの情報を認証機関に申請します。

 

補足.CSRの申請方法は下記に記載します。
下記は認証機関がシマンテックの場合
ストアフロントにアクセスします。

更新可能な製品は赤字で表示されます。
更新対象の製品を選択肢、内容を確認の上、「更新」ボタンをクリックします。

製品および有効期間と署名アルゴリズムを選択します。

ライセンス数を選択します。
エクスプレスサービスを追加する場合にチェックします。
サーバタイプを選択します。

企業名・団体名を検索します。

申請手続き担当者（技術担当者）の情報を入力します。

CSRを生成します。
取得したCSRの内容を貼り付けます。