k2-y.comのnginxに設定しているSSLを更新する時期がまじかに迫ってきたので今回は記録。
前回はどうやってやったのかを忘れてしまったので メモ。
私はSSLストアにてもっとも安価なRapidSSLというものを1年契約で購入。
次回は2年くらいにしてこの更新手続きの手間を減らしたい。
今回は更新なので
RapidSSL (更新) (1年) RapidSSL 1年 (更新)
というものを選択。
購入したら証明書管理のページからアクティベートという処理をする必要がある。
これは手順に従ってやるだけだがコモンネームというものを指定する必要があり SSLの種類で異なるのが 私の場合はwww.k2-y.comである。
サーバーの種類は証明書との依存関係はないがNginxがないのでその他とする。
手順に従って進める。
途中CSRを求められるの
sudo openssl genrsa -des3 -out server.key 2048
パスワードを2度求められるので入力
sudo openssl req -new -key server.key -out server.csr
Enter pass phrase for server.key: 先ほどのパスワード
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.—–
Country Name (2 letter code) [AU]:JP
State or Province Name (full name) [Some-State]:Saitama
Locality Name (eg, city) []:Fukaya
Organization Name (eg, company) [Internet Widgits Pty Ltd]:NONE
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:www.k2-y.com
Email Address []:webmaster@k2-y.com
Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
作成されたCSRをCSRの入力欄にコピペ
証明書の発行申請をおこなう。
申請確認のメールが届くので承認する。
その後ssl-storeの場合は2~3日で申請時に指定したメールアドレス( 申請確認のメール と同様のアドレス)へSSL証明書と中間CA証明書が届きます。
それら2つの証明書をserver.pemとして保存。
私の場合はすでに設定されていますがnginxの設定ファイルに
ssl on;
ssl_certificate /etc/nginx/ssl/server.pem;
ssl_certificate_key /etc/nginx/ssl/server.key;
ssl_session_timeout 5m;
ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers “HIGH:!aNULL:!MD5 or HIGH:!aNULL:!MD5:!3DES”;
ssl_prefer_server_ciphers on;
な感じで記述。
sudo servire nginxをするとCSR作成時に設定したパスワードを求められるのでそれを入力。
以上で完了。
httpsで問題なくwebが表示されている事と有効期限などチェックしとくと良いかも。