デジサート社(旧シマンテック社・ジオトラスト社)のSSL証明書を使っていたのですが、さくらインターネットから証明書の入れ替えをするよう依頼がありました。
さくらさんから送られてきた手順に従えば概ね問題なく入れ替えが完了したのだけれども、一部つまづいた点があったので備忘録。
DigiCert社のrootCA証明書を入手
https://global-root-ca.chain-demos.digicert.com/info/index.html からテキストでコピー&ペーストしました。
https://www.digicert.com/digicert-root-certificates.htm からダウンロードするのが正しいのだろうけれども、wgetを使ってもなぜかバイナリファイルになってしまい・・・Macでダウンロードしても状況が変わらなかったので断念(汗)
rootCA証明書から自分のサーバまでの証明書を結合
catコマンドで結合しました。
テキストファイルの中身は、一番上が自分のサーバ証明書、次が中間証明書、一番下がrootCA証明書になります
証明書が正しく導入できたかの確認方法
DigiCert社のチェッカー https://www.digicert.com/help/ を使うと便利
OCSPへの対応
nginxのコンフィグファイルにて以下の2行を指定
ssl_stapling on;
ssl_stapling_verify on;
#ssl_trusted_certificate 行はコメントアウト。
※以前はrootCAから自分のサーバの証明書までをチェインさせたファイルをssl_trusted_certificate に記載していたけれども、今回から不要になった
OCSPに対応できたかの確認方法(手動)
前述のチェッカーを使用すれば出てきますが、手動でも確認できます
$ openssl s_client -connect minkymoon.jp:443 -status | grep OCSP
depth=2 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert Global Root CA
verify return:1
depth=1 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = RapidSSL RSA CA 2018
verify return:1
depth=0 CN = www.minkymoon.jp
verify return:1
OCSP response:
OCSP Response Data:
OCSP Response Status: successful (0x0)
Response Type: Basic OCSP Response
コメント