はじめての自宅サーバ構築 - Fedora/CentOS -
Last Update 2018/05/30
[ 更新履歴 ] [ サイト マップ ] [ 質問掲示板 ] [ 雑談掲示板 ] [ リンク ]
トップ >> 当サイト情報 >> スレッド

このページは表示専用です。新規投稿・レスや最新情報はこちらです。

このスレッドはクローズされています。記事の閲覧のみとなります。

 SSL証明書の有効期間の変更について
日時: 2009/02/20 16:56
名前: けん

1.不明点・障害内容:SSL証明書の有効期間の変更方法について問い合わせ

SSL通信設定は下記URLの通り設定済み
http://kajuhome.com/apache_ssl.shtml

SSL構築後、1年間運用しておりましたが、
新規PCの証明書をインストールしていないPCで
有効期間が過ぎてしている状況で認証が通らなくなりました。

まずこの場合 どのようにすればよいか
御教示頂きたく(CAを再作成すればよいのでしょうか?)

またデフォルト1年で有効期間がきれるのを対策するために、
有効期間の変更方法についてもあわせて御教示下さい。

自分で調べてみましたが下記 手順で問題ないでしょうか?

有効期間を3650日(10年にする)場合

■ ブラウザインポート用のバイナリDERフォーマット(ca.der)の作成
デフォルト(1年間)
openssl x509 -inform pem -in /etc/httpd/conf/ca.crt -outform der -out /etc/httpd/conf/ca.der

2年に設定
openssl -days 3650 x509 -inform pem -in /etc/httpd/conf/ca.crt -outform der -out /etc/httpd/conf/ca.der

この場合、サーバ証明書の有効期間も変更しなければなりませんか?


以上、宜しくお願い致します。

■ コンテンツ関連情報

 Re: SSL証明書の有効期間の変更について ( No.1 )
日時: 2009/02/20 16:06
名前: 管理者

> まずこの場合 どのようにすればよいか
> 御教示頂きたく(CAを再作成すればよいのでしょうか?)


認識の通り、「CA用証明書(ca.crt)の作成」を行ってください。
有効期限はCAを発行した日数となります。
よって、既に作成済みのCA証明書は365日ですので、このまま開示頂いた手順(3650日)で「ca.der」を作成しても「365日」となってしまいます。

下記の様に「3650日」でCA用証明書を作成し直してから「ca.der」を作成して下さい。
# openssl req -new -x509 -days 3650 -key /etc/httpd/conf/ca.key -out /etc/httpd/conf/ca.crt

「ブラウザインポート用のバイナリDERフォーマット(ca.der)の作成」時には「-days」は不要です。
※:ちなみにコマンドで「openssl -days 3650 x509 ・・・」となっていますがパラメータの順番が不正です。
  正しくは「openssl x509 -days 3650 ・・・」となります。

> サーバ証明書の有効期間も変更しなければなりませんか?
恐らく最初に作成した「署名要求書(server.csr)」もデフォルトの365日と思われます。
1年の要求書に10年の証明をしてどの様に動作するか不明です。

全てを再作成した方が良いと思われます。
 Re: SSL証明書の有効期間の変更について ( No.2 )
日時: 2009/02/20 17:00
名前: けん

>管理人殿
さっそくの回答ありがとうございます。
御指摘頂いた手順にて実施させて頂きます。
本件結果報告と共にクローズ予定とさせて頂きます。



【備忘録】
OpenSSLコマンドと用例
http://linux.kororo.jp/cont/server/openssl_command.php
 【完了報告】Re: SSL証明書の有効期間の変更について ( No.3 )
日時: 2009/02/20 19:19
名前: けん

管理人殿

問題なく認証できました
この度は迅速な回答ありがとうございました

■ その他

ページ先頭へ


Copyright(©)2004-2018 First home server construction. All Right Reserved.