kingsslの更新方法について

以前、KingSSLの更新でファイルの場所を確認させて頂きました。

無事にCSRファイルが見つかりKingSSLの更新手続きをしました。
ですが、実際に、更新の日が過ぎましたら、
ubuntu上のURLのhttpsが二重線で取り消され、保護されていない通信、この証明書の有効期限が切れています。と表示されてしまいました。
どうしたらいいものか悩んでおります。

本当に知識が無いまま、手探りでやっている状況でして、大変恐縮ですが、また質問させて下さい。

mac os のクライアントにて、KingSSLから届いたメールの証明書をコピーし、

php
1pbpaste > ssl_keys/xxxxxxxxxx.pem

上記コマンドによりpemファイルを作成、

さらに、KingSSLから届いたメールの中間証明書をコピーし、

php
1pbpaste > ssl_keys/xxxxxxxxxx.crt

上記コマンドによりcrtファイルを作成しました。

ssl_keysの下には、

php
1xxxxxxxxxx.key.secure
2xxxxxxxxxx.jp.key
3xxxxxxxxxx.jp.csr
4xxxxxxxxxx.jp.pem
5xxxxxxxxxx.jp.crt

の5ファイルがある状態です。

csrは去年のものでもいい、ということでしたので、そのままです。

そもそも、最初はKingSSLの証明書を取得してから、macに設定し、ansibleにてubuntuの環境を作成しました。

今回は、ansibleは動かしていないのですが、通常の小さいプログラム修正などはmacのターミナルからsshでubuntuのサーバにログインし、deployコマンドで反映しているので、それで今回の証明書も反映されるものかと勝手に思っていました。

同じような環境で管理されている方がいらっしゃいましたら、どのようにサーバの方に証明書を反映させるのかを教えていただけないでしょうか？

ubuntu側で、手動で証明書の更新が必要なのでしょうか？
ubuntu側では、
/etc/ssl/certsに、pem,crt,keyファイルがあり、試しにそちらのpemとcrtを今回の証明書に変更し、apache2を再起動しましたら、ubuntuのサイトにアクセスできなくなりました。

怖いので、もう１度ファイルを戻し、apache2を再起動しましたら、最初と同様に、
ubuntu上のURLのhttpsが二重線で取り消され、保護されていない通信、この証明書の有効期限が切れています。と表示されます。

どうか、よろしくお願い致します。

CHERRY

2017/12/23 14:11

apache2を再起動して、接続できなくなったということは、再起動した際にエラーメッセージが表示されたと思います。そのメッセージを記載できないでしょうか。覚えていない場合は、エラーログに残っていると思いますので、再起動時のメッセージを確認して、エラーと書かれている部分を記載してください。

mizutama72

2017/12/23 23:48 編集

ご連絡ありがとうございます。apache2再起動はコマンド的にはエラーは出なかったのですが、urlに接続できなかったのです。 /var/log/apache2/error.logは「[Sun Dec 24 06:25:03.129323 2017] [mpm_prefork:notice] [pid 4009] AH00163: Apache/2.4.18 (Ubuntu) OpenSSL/1.0.2g configured -- resuming normal operations [Sun Dec 24 06:25:03.129353 2017] [core:notice] [pid 4009] AH00094: Command line: '/usr/sbin/apache2'」となっていました。さらに、昨日の日付でerror.log.1というものがありまして、そちらにエラーがありました。 [Sat Dec 23 20:47:10.899710 2017] [mpm_prefork:notice] [pid 4976] AH00169: caught SIGTERM, shutting down [Sat Dec 23 20:47:11.979099 2017] [ssl:emerg] [pid 3923] AH02561: Failed to configure certificate xxxxxxxxxxx.jp:443:0, check /etc/ssl/certs/xxxxxxxxx.pem [Sat Dec 23 20:47:11.979155 2017] [ssl:emerg] [pid 3923] SSL Library Error: error:0906D06C:PEM routines:PEM_read_bio:no start line (Expecting: CERTIFICATE) -- Bad file contents or format - or even just a forgotten SSLCertificateKeyFile? [Sat Dec 23 20:47:11.979168 2017] [ssl:emerg] [pid 3923] SSL Library Error: error:140AD009:SSL routines:SSL_CTX_use_certificate_file:PEM lib AH00016: Configuration Failed [Sat Dec 23 20:49:39.688620 2017] [mpm_prefork:notice] [pid 4009] AH00163: Apache/2.4.18 (Ubuntu) OpenSSL/1.0.2g configured -- resuming normal operations [Sat Dec 23 20:49:39.688688 2017] [core:notice] [pid 4009] AH00094: Command line: '/usr/sbin/apache2' [Sun Dec 24 06:25:03.078267 2017] [mpm_prefork:notice] [pid 4009] AH00171: Graceful restart requested, doing restart

行動規範の内容に同意します

回答2件

自己解決

別のサーバでテストをしてみることにしましたので、一旦取り下げます。

投稿2018/01/24 10:11

mizutama72

総合スコア31

AH02561: Failed to configure certificate xxxxxxxxxxx.jp:443:0, check /etc/ssl/certs/xxxxxxxxx.pem
SSL Library Error: error:0906D06C:PEM routines:PEM_read_bio:no start line (Expecting: CERTIFICATE) -- Bad file contents or format - or even just a forgotten SSLCertificateKeyFile?

エラーを拝見すると　SSL証明書などのファイルがおかしいといっています。

よくある間違いとしては、

SSL証明書と中間証明書が入れ替わっている。
ファイルに貼り付ける内容がまちがっている。

等がありそうです。

Webサーバーの SSL ファイルの設定はどうなっていますか？

質問に記載されている以下の内容から推測すると apache の SSL設定は、以下のようになっている必要がありますが、どのような設定になっているでしょうか？

mac os のクライアントにて、KingSSLから届いたメールの証明書をコピーし、
pbpaste > ssl_keys/xxxxxxxxxx.pem
上記コマンドによりpemファイルを作成、
さらに、KingSSLから届いたメールの中間証明書をコピーし、
pbpaste > ssl_keys/xxxxxxxxxx.crt
上記コマンドによりcrtファイルを作成しました。

SSLCertificateFile       "/etc/ssl/certs/xxxxxxxxxx.jp.pem"  # ドメインのSSL証明書
SSLCertificateChainFile  "/etc/ssl/certs/xxxxxxxxxx.jp.crt"  # 中間証明書
SSLCertificateKeyFile    "/etc/ssl/certs/xxxxxxxxxx.jp.key"　# ドメインの秘密鍵

なお、SSLCertificateChainFile の設定がない場合もあります。その場合は、 SSLCertificateFile で、設定するファイルに複数の証明書を順番に連結して記載します。

あと、念のために key, csr, pem, crt の4つがあるということですが、ファイルの1行目と最終行は、どうなっているでしょうか？ファイルの改行コードは、LF 保存してください。

xxxxxxxxxx.jp.key の 1行目は、-----BEGIN RSA PRIVATE KEY----- と -----END RSA PRIVATE KEY----- でしょうか？
xxxxxxxxxx.jp.csr の 1行目は、-----BEGIN CERTIFICATE REQUEST----- と -----END CERTIFICATE REQUEST----- でしょうか？
xxxxxxxxxx.jp.pem の 1行目は、-----BEGIN CERTIFICATE----- と -----END CERTIFICATE----- でしょうか？
xxxxxxxxxx.jp.crt の 1行目は、-----BEGIN CERTIFICATE----- と -----END CERTIFICATE----- でしょうか？

投稿2017/12/24 10:50

CHERRY

総合スコア25171

mizutama72

2017/12/24 13:31 編集

ご連絡ありがとうございます。 ubuntuの/etc/apache2/sites-available/default-ssl.confに、 SSLCertificateFile /etc/ssl/certs/xxxxxxxxxx.jp.pem SSLCertificateKeyFile /etc/ssl/certs/xxxxxxxxxx.key SSLCertificateChainFile /etc/ssl/certs/xxxxxxxxxx.crt となっていました。 xxxxxxxxxx.jp.keyの最初と最後は -----BEGIN RSA PRIVATE KEY----- と-----END RSA PRIVATE KEY----- xxxxxxxxxx.jp.pemの最初と最後は、 ----BEGIN CERTIFICATE-----と-----END CERTIFICATE----- xxxxxxxxxx.jp.crtの最初と最後は、 -----BEGIN CERTIFICATE-----と-----END CERTIFICATE----- となっていました。メールの証明書を普通にマウスで選択して右クリックでコピーし、pbpasteコマンドでファイルを作成しました。この時のやり方がまずかったでしょうか・・ csrはubuntuにはなくて、macクライアントにあります。