私の会社では、*.example.com のワイルドカード SSL 証明書を使用して、example.com と sub.example.com を同じサーバーでホストしています。今、証明書を更新する時期ですが、その証明書をどうやって入手したのかわかりません。上司は、その費用と思われる 200 ドルを支払ったとは思っていません。それをインストールしたのは私の以前の上司 (数日前に会社を辞めました) で、彼は自分が何をしたのか正確には覚えていませんが、CA から提供されたファイルを使用するのではなく、何かを生成する必要があったと考えています。
Apache 設定には次の行があり、他にコメントされていない SSL*File 行はありません。
SSLCertificateFile /usr/local/ssl/cert/example.com.crt
SSLCACertificateFile /usr/local/ssl/cert/intermediate.crt
SSLCertificateKeyFile /usr/local/ssl/private/example.com-wild.key
middle.crt ( ) を調べたところopenssl x509 -in intermediate.crt -text -noout、弊社の組織や Web サイトについては一切記載されておらず、有効期間は 2010 ~ 2020 年です。
Data:
Version: 3 (0x2)
Serial Number: 145105 (0x236d1)
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=US, O=GeoTrust Inc., CN=GeoTrust Global CA
Validity
Not Before: Feb 19 22:45:05 2010 GMT
Not After : Feb 18 22:45:05 2020 GMT
Subject: C=US, O=GeoTrust, Inc., CN=RapidSSL CAb
example.com.crt はワイルドカードです:
Data:
Version: 3 (0x2)
Serial Number: 1113972 (0x10ff74)
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=US, O=GeoTrust, Inc., CN=RapidSSL CA
Validity
Not Before: Mar 1 09:05:39 2014 GMT
Not After : Mar 4 09:08:54 2015 GMT
Subject: serialNumber=T0nuTvfeaQVtd3dZ30zGI94HrvUsoRjx, OU=GT53409919, OU=See www.rapidssl.com/resources/cps (c)14, OU=Domain Control Validated - RapidSSL(R), CN=*.example.com
私は SSL インフラストラクチャを理解していないので、関連する質問がたくさんあると思います。まったく関連がない場合はお詫びします。何がわからないのか、私にはわかりません。
200 ドルか何か払わなかったのに、どうやってワイルドカード証明書を入手したのでしょうか? (intermediate.crt だけで作成できたとしたら、ちょっと驚きます。そうすれば 2020 年まで生成し続けることができるからです。しかし、/usr/local/ssl には他のファイルはなく、/etc/pki/tls にも 2013 年以降に変更されたものはないので、他に何を使ったのでしょうか? 上司が記憶違いをして、実際に 200 ドルか何か払ったとしたら、ちょっと驚きますが、それはあり得ると思います。)
middle.crt はどこで入手したのでしょうか?
middle.crt は何をしますか? ベータ サーバーで正常に動作する (自己署名であることを除く) 自己署名ワイルドカード証明書があり、SSLCACertificateFile 行がありません。また、example.com を保護する非ワイルドカード証明書を購入し、SSLCACertificateFile なしで VirtualHost を使用してインストールしました。また、sub.example.com の証明書を取得中で、これも同じ方法でインストールする予定です。非自己署名ワイルドカード証明書には SSLCACertificateFile が必要ですか?
自己署名証明書を生成した方法は、関連している可能性があるようです。
openssl req -nodes -new -keyout private/example.com.key -out certs/intermediate.csr openssl x509 -req -days 365 -in certs/intermediate.csr -signkey private/file.key -out certs/example.com.crtしかし、この場合、Apache 構成で middle.csr について言及する必要はなく、intermediate.csr は、
openssl x509intermediate.crt ファイルのように検査することはできません。
答え1
How did we get the wildcard certificate, if we didn't pay $200 or whatever for it?
今見つけたものより安い CA ですか? きっともっと安い価格の再販業者が見つかるはずです。
Where did we get intermediate.crt? What does intermediate.crt do?
CA から取得します。CA は通常、ルート証明書を使用して証明書に直接署名するのではなく、中間証明書を介して署名します。この中間証明書は顧客の証明書に署名し、次にブラウザと OS によって信頼されるルート証明書によって署名されます。これは証明書チェーンと呼ばれ、SSLCACertificateFileWeb サイト証明書から CA 証明書までのこのチェーンを提供するための Apache 用の別のパラメーターがある理由でもあります。
ベータ サーバー上で SSLCACertificateFile 行なしで正常に動作する自己署名ワイルドカード証明書があります (自己署名であることを除く)。
テストしたブラウザは中間証明書も信頼しますが、それに頼ることはできません。SSLLabs sslテストチェーンが不完全であるか、中間チェーンが欠落していないか (ここでは追加ダウンロードと呼ばれます) を確認するツールです。
自己署名されていないワイルドカード証明書には SSLCACertificateFile が必要ですか?
いいえ、この場合は証明書チェーンがないため、上記を参照してください。
答え2
あなたの証明書と中間証明書の詳細から判断すると、あなたの元マネージャーが 1 年前に RapidSSL からワイルドカード証明書を取得するために実際に費用を支払ったことは明らかです。彼が生成しなければならなかったのは、RapidSSL に送信する証明書要求だったと思われます。