DTIサーバー構築32 「もう、信じられないっ!」

ある日、Gmailの、サイトで、見つけてしまったさ。
この世に生きる喜び。ではなく、エラーメッセージを。
レッドレッド。それはどぎつい、嫌な色だったさ。
レッドレッド。面倒だから半年ほど放っておいたさ。
SSL Security Error. [ Help ]
Server returned error “SSL error: certificate has expired”
そう。証明書の期限切れ。

もうすぐ無料のSSL証明書が簡単に取得できる日が来るようだが、それまでは1年更新の無料証明書を何とか使うしかない。

なので、昔のBLOGの記事を見ながら、まずは、CAcert.orgに行ってみる。
http://www.cacert.org/
あれ?BLOGをよく見ると、CAcertでは信用してもらえずに、StartSSLで取得し直してるやん。

過去の自分に教えられつつ、次のページに行って、右上の「顔写真+鍵」マークでログイン。

証明書の選択が出てくるので、過去に設定したであろう証明書を選択。
ログイン後は、まず、「Validations Wizard」タブを選択して、Type「Email Address Validation」を選択して、「Continue >> >>」

適当なEmailを入力して「Continue >> >>」、待つ。待つ。そして松。

メールが来たら、「Verification Code」を入力して「Continue >> >>」

「Finish >> >>」すなわち、終わり。
でも、目的は達していない。

「Validations Wizard」タブを選択して、今度はType「Domain Name Validation」を選択して、「Continue >> >>」

あなたの管理しているドメインを入力して、「Continue >> >>」

一覧に表示される受信可能なメールアドレスを選択して、「Continue >> >>」
メールが来たら、「Verification Code」を入力して「Continue >> >>」

「Finish >> >>」すなわち、終わり。

でも、まだ目的は達していない。

「Certificates Wizard」タブを選択して、Certificate Target「Web Server SSL/TLS Certificate」を選択して、「Continue >> >>」

次に秘密鍵を作るんだけど、更新するだけなので、「skip >> >>」

で、以前作ったCSRをコピペして、「Continue >> >>」

ない!って時は、
秘密キーからパスフレーズを削除して、

# openssl rsa -in pass.key -out nopass.key
CSRファイルを再度作成、

# openssl req -new -key nopass.key -out remake.csr

うまく行けば、再度「Continue >> >>」で、

Domainにあなたのドメインが表示され、「Continue >> >>」で、
サブドメインの入力を急かされ、「Continue >> >>」で、

あれ、同じサブドメインの期限切れ証明書だと、そこまでしなくても良かった?

「Tool Box」タブの「Retrieve Certificate」で、
期限が延長されている証明書をコピーして使えばよかったの?
あれ、どの時点で有効になった?

で、更に最悪なことに、新しい証明書をサーバーに入れてApacheを再起動しても、エラーで起動できない。。。

証明書ファイルの内容を確認したり、

# openssl x509 -text -noout -in domain.pem
秘密鍵ファイルの内容を確認したり、

# openssl rsa -text -noout -in domain.key
CSRファイルの内容を確認したり、

# openssl req -text -noout -in domain.csr

秘密鍵と、証明書が一致するか調べたり、、、

# openssl rsa -noout -modulus -in domain.key | openssl md5
# openssl x509 -noout -modulus -in domain.crt | openssl md5

復旧することができず、
同じサブドメインで証明書を作りなおすことも、既存の証明書を破棄することも無料ではできず。
結局新しいサブドメインにて、やり直し。

ま、最終的にGmailさんに怒られなくなったからいいか。
★DTIサーバー構築一覧はこちら★