Sectigo TLS証明書の更新

2018年11月5日だから、もう1年半ほど前にComodo社はSectigoに社名を変更している。
すでにComodo社が発行していた過去の証明書も発行元はSectigoになっている。

今回はComodoブランドではなく新しいSectigoブランドでTLS証明書を発行してみた。
さてここからは備忘録。

Sectigoの証明書を発行すると、4つのファイルが送られてくる。
・www_hogehoge_com.crt (サーバ証明書)
・SectigoECCDomainValidationSecureServerCA.crt (中間CA証明書)
・USERTrustECCAAACA.crt (クロスルート証明書)
・AAACertificateServices.crt (ルート証明書)

Comodo時代は下記の4つのファイルだった。
・www_hogehoge_com.crt (サーバ証明書)
・COMODORSADomainValidationSecureServerCA.crt (中間CA証明書)
・COMODORSAAddTrustCA.crt (クロスルート証明書)
・AddTrustExternalCARoot.crt (ルート証明書)

ここで、今回設定するサーバは apache 2.4.6 + mod_SSL なので、中間CA証明書 + クロスルート証明書 + ルート証明書の3つのファイルを、この順番に連結させて中間CA証明書としてサーバに設置する必要がある。連結はtextなのでviでご自由に。

さて、ここで「もうクロスルートいらなくね?」疑惑が浮上した。
そもそもクロスルート証明書は、太古の昔にバラまいた今となってはイマイチなルートしか見にいけないデバイス(これをガラケーと呼ぶ)の為に存在していた。そうSHA-1問題である。
このイマイチなルートしか認識出来ないガラケーにサーバ証明書を認証させるカラクリがクロスルート証明書だったのである。

実はapache + mod_SSLのケースではルート証明書も不要(調べたところtomcatでは必要らしいが私はJavaには拘らないので考慮不要)で純粋に中間CA証明書には中間CA証明書だけを設定すればよい。

さて今回更新する証明書は、SHA-256ハッシュと楕円曲線暗号を使っている。そもそもガラケーではアクセス出来ないので、クロスルート証明書を外して使うことにした。
調べて見ると、一部のSSL/TLS証明書発行事業者(及び販売代理店)では、クロスルート証明書は原則インストール不要と明記しているところもある。

証明書の更新は驚くほど上手く再起動した。

投稿者: yama

コメントを残す