質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.87%

  • MacOS(OSX)

    1734questions

    MacOSとは、Appleの開発していたGUI(グラフィカルユーザーインターフェース)を採用したオペレーションシステム(OS)です。Macintoshと共に、市場に出てGUIの普及に大きく貢献しました。

  • Ubuntu

    1197questions

    Ubuntuは、Debian GNU/Linuxを基盤としたフリーのオペレーティングシステムです。

  • SSL

    452questions

    SSL(Secure Sockets Layer)とは、暗号化されたプロトコルで、インターネット上での通信セキュリティを提供しています。

  • OpenSSL

    96questions

    OpenSSLはSSL/TLSのプロトコルと一般的な暗号のライブラリを導入するオープンソースのソフトウェアのツールキットです。

kingsslの更新方法について

解決済

回答 2

投稿

  • 評価
  • クリップ 0
  • VIEW 189

mizutama72

score 19

以前、KingSSLの更新でファイルの場所を確認させて頂きました。

無事にCSRファイルが見つかりKingSSLの更新手続きをしました。
ですが、実際に、更新の日が過ぎましたら、
ubuntu上のURLのhttpsが二重線で取り消され、保護されていない通信、この証明書の有効期限が切れています。と表示されてしまいました。
どうしたらいいものか悩んでおります。

本当に知識が無いまま、手探りでやっている状況でして、大変恐縮ですが、また質問させて下さい。

mac os のクライアントにて、KingSSLから届いたメールの証明書をコピーし、

pbpaste > ssl_keys/xxxxxxxxxx.pem


上記コマンドによりpemファイルを作成、

さらに、KingSSLから届いたメールの中間証明書をコピーし、

pbpaste > ssl_keys/xxxxxxxxxx.crt


上記コマンドによりcrtファイルを作成しました。

ssl_keysの下には、

xxxxxxxxxx.key.secure
xxxxxxxxxx.jp.key
xxxxxxxxxx.jp.csr
xxxxxxxxxx.jp.pem
xxxxxxxxxx.jp.crt


の5ファイルがある状態です。

csrは去年のものでもいい、ということでしたので、そのままです。

そもそも、最初はKingSSLの証明書を取得してから、macに設定し、ansibleにてubuntuの環境を作成しました。

今回は、ansibleは動かしていないのですが、通常の小さいプログラム修正などはmacのターミナルからsshでubuntuのサーバにログインし、deployコマンドで反映しているので、それで今回の証明書も反映されるものかと勝手に思っていました。

同じような環境で管理されている方がいらっしゃいましたら、どのようにサーバの方に証明書を反映させるのかを教えていただけないでしょうか?

ubuntu側で、手動で証明書の更新が必要なのでしょうか?
ubuntu側では、
/etc/ssl/certsに、pem,crt,keyファイルがあり、試しにそちらのpemとcrtを今回の証明書に変更し、apache2を再起動しましたら、ubuntuのサイトにアクセスできなくなりました。

怖いので、もう1度ファイルを戻し、apache2を再起動しましたら、最初と同様に、
ubuntu上のURLのhttpsが二重線で取り消され、保護されていない通信、この証明書の有効期限が切れています。と表示されます。

どうか、よろしくお願い致します。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • CHERRY

    2017/12/23 23:11

    apache2を再起動して、接続できなくなったということは、再起動した際にエラーメッセージが表示されたと思います。そのメッセージを記載できないでしょうか。覚えていない場合は、エラーログに残っていると思いますので、再起動時のメッセージを確認して、エラーと書かれている部分を記載してください。

    キャンセル

  • mizutama72

    2017/12/24 08:48 編集

    ご連絡ありがとうございます。apache2再起動はコマンド的にはエラーは出なかったのですが、urlに接続できなかったのです。 /var/log/apache2/error.logは「[Sun Dec 24 06:25:03.129323 2017] [mpm_prefork:notice] [pid 4009] AH00163: Apache/2.4.18 (Ubuntu) OpenSSL/1.0.2g configured -- resuming normal operations [Sun Dec 24 06:25:03.129353 2017] [core:notice] [pid 4009] AH00094: Command line: '/usr/sbin/apache2'」となっていました。 さらに、昨日の日付でerror.log.1というものがありまして、そちらにエラーがありました。 [Sat Dec 23 20:47:10.899710 2017] [mpm_prefork:notice] [pid 4976] AH00169: caught SIGTERM, shutting down [Sat Dec 23 20:47:11.979099 2017] [ssl:emerg] [pid 3923] AH02561: Failed to configure certificate xxxxxxxxxxx.jp:443:0, check /etc/ssl/certs/xxxxxxxxx.pem [Sat Dec 23 20:47:11.979155 2017] [ssl:emerg] [pid 3923] SSL Library Error: error:0906D06C:PEM routines:PEM_read_bio:no start line (Expecting: CERTIFICATE) -- Bad file contents or format - or even just a forgotten SSLCertificateKeyFile? [Sat Dec 23 20:47:11.979168 2017] [ssl:emerg] [pid 3923] SSL Library Error: error:140AD009:SSL routines:SSL_CTX_use_certificate_file:PEM lib AH00016: Configuration Failed [Sat Dec 23 20:49:39.688620 2017] [mpm_prefork:notice] [pid 4009] AH00163: Apache/2.4.18 (Ubuntu) OpenSSL/1.0.2g configured -- resuming normal operations [Sat Dec 23 20:49:39.688688 2017] [core:notice] [pid 4009] AH00094: Command line: '/usr/sbin/apache2' [Sun Dec 24 06:25:03.078267 2017] [mpm_prefork:notice] [pid 4009] AH00171: Graceful restart requested, doing restart

    キャンセル

回答 2

check解決した方法

0

別のサーバでテストをしてみることにしましたので、一旦取り下げます。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

0

AH02561: Failed to configure certificate xxxxxxxxxxx.jp:443:0, check /etc/ssl/certs/xxxxxxxxx.pem 
SSL Library Error: error:0906D06C:PEM routines:PEM_read_bio:no start line (Expecting: CERTIFICATE) -- Bad file contents or format - or even just a forgotten SSLCertificateKeyFile? 

エラーを拝見すると SSL証明書などのファイルがおかしいといっています。

よくある間違いとしては、

  • SSL証明書と中間証明書が入れ替わっている。
  • ファイルに貼り付ける内容がまちがっている。
    等がありそうです。

Webサーバー の SSL ファイルの設定はどうなっていますか?

質問に記載されている以下の内容から推測すると apache の SSL設定は、以下のようになっている必要がありますが、どのような設定になっているでしょうか?

mac os のクライアントにて、KingSSLから届いたメールの証明書をコピーし、
pbpaste > ssl_keys/xxxxxxxxxx.pem
上記コマンドによりpemファイルを作成、
さらに、KingSSLから届いたメールの中間証明書をコピーし、
pbpaste > ssl_keys/xxxxxxxxxx.crt
上記コマンドによりcrtファイルを作成しました。

SSLCertificateFile       "/etc/ssl/certs/xxxxxxxxxx.jp.pem"  # ドメインのSSL証明書
SSLCertificateChainFile  "/etc/ssl/certs/xxxxxxxxxx.jp.crt"  # 中間証明書
SSLCertificateKeyFile    "/etc/ssl/certs/xxxxxxxxxx.jp.key" # ドメインの秘密鍵

なお、SSLCertificateChainFile の設定がない場合もあります。その場合は、 SSLCertificateFile で、設定するファイルに複数の証明書を順番に連結して記載します。


あと、念のために key, csr, pem, crt の4つがあるということですが、ファイルの1行目と最終行は、どうなっているでしょうか? ファイルの改行コードは、LF 保存してください。

xxxxxxxxxx.jp.key の 1行目は、-----BEGIN RSA PRIVATE KEY----- と -----END RSA PRIVATE KEY----- でしょうか?
xxxxxxxxxx.jp.csr の 1行目は、-----BEGIN CERTIFICATE REQUEST----- と -----END CERTIFICATE REQUEST----- でしょうか?
xxxxxxxxxx.jp.pem の 1行目は、-----BEGIN CERTIFICATE----- と -----END CERTIFICATE----- でしょうか?
xxxxxxxxxx.jp.crt の 1行目は、-----BEGIN CERTIFICATE----- と -----END CERTIFICATE----- でしょうか?

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/12/24 22:30 編集

    ご連絡ありがとうございます。

    ubuntuの/etc/apache2/sites-available/default-ssl.confに、

    SSLCertificateFile /etc/ssl/certs/xxxxxxxxxx.jp.pem
    SSLCertificateKeyFile /etc/ssl/certs/xxxxxxxxxx.key
    SSLCertificateChainFile /etc/ssl/certs/xxxxxxxxxx.crt

    となっていました。

    xxxxxxxxxx.jp.keyの最初と最後は
    -----BEGIN RSA PRIVATE KEY----- と-----END RSA PRIVATE KEY-----

    xxxxxxxxxx.jp.pemの最初と最後は、
    ----BEGIN CERTIFICATE-----と-----END CERTIFICATE-----

    xxxxxxxxxx.jp.crtの最初と最後は、
    -----BEGIN CERTIFICATE-----と-----END CERTIFICATE-----

    となっていました。
    メールの証明書を普通にマウスで選択して右クリックでコピーし、pbpasteコマンドでファイルを作成しました。
    この時のやり方がまずかったでしょうか・・

    csrはubuntuにはなくて、macクライアントにあります。

    キャンセル

  • 2017/12/24 23:11

    .pem ファイルの先頭に「-」が足りないようです。

    キャンセル

  • 2018/01/11 11:02

    ご連絡ありがとうございます。通知が来なくて、今気づきました。

    「-」は、こちらに貼り付ける時に一つ少なくしてしまったようです。

    失礼致しました。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.87%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る

  • MacOS(OSX)

    1734questions

    MacOSとは、Appleの開発していたGUI(グラフィカルユーザーインターフェース)を採用したオペレーションシステム(OS)です。Macintoshと共に、市場に出てGUIの普及に大きく貢献しました。

  • Ubuntu

    1197questions

    Ubuntuは、Debian GNU/Linuxを基盤としたフリーのオペレーティングシステムです。

  • SSL

    452questions

    SSL(Secure Sockets Layer)とは、暗号化されたプロトコルで、インターネット上での通信セキュリティを提供しています。

  • OpenSSL

    96questions

    OpenSSLはSSL/TLSのプロトコルと一般的な暗号のライブラリを導入するオープンソースのソフトウェアのツールキットです。