????????????????????¨????°???¨??§????????°???????¨??????¬???????????°?????±??????????????§??????
このスレッドはクローズされています。記事の閲覧のみとなります。
 SSL証明書の有効期間の変更について |
 |
- ????????? 2009/02/20 16:56
- ????????? けん
-
1.不明点・障害内容:SSL証明書の有効期間の変更方法について問い合わせ
SSL通信設定は下記URLの通り設定済み
http://kajuhome.com/apache_ssl.shtml
SSL構築後、1年間運用しておりましたが、
新規PCの証明書をインストールしていないPCで
有効期間が過ぎてしている状況で認証が通らなくなりました。
まずこの場合 どのようにすればよいか
御教示頂きたく(CAを再作成すればよいのでしょうか?)
またデフォルト1年で有効期間がきれるのを対策するために、
有効期間の変更方法についてもあわせて御教示下さい。
自分で調べてみましたが下記 手順で問題ないでしょうか?
有効期間を3650日(10年にする)場合
■ ブラウザインポート用のバイナリDERフォーマット(ca.der)の作成
デフォルト(1年間)
openssl x509 -inform pem -in /etc/httpd/conf/ca.crt -outform der -out /etc/httpd/conf/ca.der
↓
2年に設定
openssl -days 3650 x509 -inform pem -in /etc/httpd/conf/ca.crt -outform der -out /etc/httpd/conf/ca.der
この場合、サーバ証明書の有効期間も変更しなければなりませんか?
以上、宜しくお願い致します。
|
■ コンテンツ関連情報
 Re: SSL証明書の有効期間の変更について ( No.1 ) |
|
- ????????? 2009/02/20 16:06
- ????????? 管理者
-
> まずこの場合 どのようにすればよいか
> 御教示頂きたく(CAを再作成すればよいのでしょうか?)
認識の通り、「CA用証明書(ca.crt)の作成」を行ってください。
有効期限はCAを発行した日数となります。
よって、既に作成済みのCA証明書は365日ですので、このまま開示頂いた手順(3650日)で「ca.der」を作成しても「365日」となってしまいます。
下記の様に「3650日」でCA用証明書を作成し直してから「ca.der」を作成して下さい。
# openssl req -new -x509 -days 3650 -key /etc/httpd/conf/ca.key -out /etc/httpd/conf/ca.crt
「ブラウザインポート用のバイナリDERフォーマット(ca.der)の作成」時には「-days」は不要です。
※:ちなみにコマンドで「openssl -days 3650 x509 ・・・」となっていますがパラメータの順番が不正です。
正しくは「openssl x509 -days 3650 ・・・」となります。
> サーバ証明書の有効期間も変更しなければなりませんか?
恐らく最初に作成した「署名要求書(server.csr)」もデフォルトの365日と思われます。
1年の要求書に10年の証明をしてどの様に動作するか不明です。
全てを再作成した方が良いと思われます。
|
| Re: SSL証明書の有効期間の変更について ( No.2 ) |
|
- ????????? 2009/02/20 17:00
- ????????? けん
-
>管理人殿
さっそくの回答ありがとうございます。
御指摘頂いた手順にて実施させて頂きます。
本件結果報告と共にクローズ予定とさせて頂きます。
【備忘録】
OpenSSLコマンドと用例
http://linux.kororo.jp/cont/server/openssl_command.php
|
| 【完了報告】Re: SSL証明書の有効期間の変更について ( No.3 ) |
|
- ????????? 2009/02/20 19:19
- ????????? けん
-
管理人殿
問題なく認証できました
この度は迅速な回答ありがとうございました
|
■ その他