- みんなの回答 (11)
- 専門家の回答
質問者が選んだベストアンサー
度々です。すみません。 >自分で調べる限り更新は, >前のファイルを削除し、新しくファイル追加する場合と、有効期限が切れた場合に更新できると書いてあるのを見つけました。 これって、ちょっと理解が難しいですね。 通常、CAを指定しているのは、httpd.confかssl.confでCAの指定は1ファイルだった様な気がします。 2つ指定してhttpdのstartを掛けたことがありませんので不確定ですが・・・ ですので期限切れになると新しいCAを自動的に読み込んでくれるという動きにはならないような気がします。 私も本番機でテストは流石にできませんので何とも言えませんが・・・
その他の回答 (10)
- mattalix
- ベストアンサー率62% (47/75)
>-startdate -enddateの両方はどのようにコマンドをうてば良いのですか? >インターネットで調べたんですが、どちらも検索結果が表示されなくて。 検索エンジンの使い方の初歩ですが、-で始めた単語は除外扱い openssl startdate enddate でもう一度どうぞ
- nolix
- ベストアンサー率19% (110/572)
追記です。 本来、質問者様の様な更新は多分行わないと思います。 通常、期限2009/10/10であっても、本日更新するのであれば、期限をその分長くして、2010/10/10期限のCAを作るのが普通です。 通常、差し替えは、すぐに行いたいはずなので・・・ ですから、マシン自体の日付を変更してしまえば、希望の事はできると思いますが、ちょっと不自然です。 つまり、 旧CA=2008/10/10~2009/10/10 新CA=2009/08/25(更新日)~2010/10/10 上記で通常の目的は達することができますよね。 これを本日、差し替えてしまえば、わざわざ2009/10/10にCAを差し替える必要はありません。 プライベートCAの問題はIE8から表面化しています。 安易にIE8にバージョンアップするとプライベートCAでは閲覧不可能の可能性大です。これは更新しても解決できないかもしれません。 IE8は敬遠していますので、実態と詳細は知りませんので、あくまでも参考でお願い申し上げます。
お礼
業務で有効期限を1年にするのが良いみたいで、 本番機に入れる為に手順を書いているのですが、 更新なんて初めてで覚えるのが大変で、難しくて... 参考にさせていただきます。 ありがとうございます。
- nolix
- ベストアンサー率19% (110/572)
テスト機で生成するなら、日付を2009/10/10にセットしてみればどうですか? 本番機ではお勧めしませんが・・・
- mattalix
- ベストアンサー率62% (47/75)
-startdate -enddate しかし有効期間前の証明書なんか入れたらやっぱりエラーですがね
補足
ありがとうございます。 なんか出来ない気がしてきました。笑 -startdate -enddateの両方はどのようにコマンドをうてば良いのですか? インターネットで調べたんですが、どちらも検索結果が表示されなくて。
- nolix
- ベストアンサー率19% (110/572)
コマンド見てわかりませんか? △-days△365 この日数を変更すれば良いのではないでしょうか?
補足
おそらくそうだと思います。 -daysを使うと思いますが、これは今日から365日ということみたいで、例えば 今日更新し、 -days 400としたとすると、 2009年08月25日から 2010年09月30日と 400日間の有効となるのです。 そうではいけなくて、 今日更新し、 2009年10月10日から 2010年10月10日にしたいのです
- nolix
- ベストアンサー率19% (110/572)
公的証明書でないのに更新する必要があるのかという疑問は置いて・・・ http://blog.taragana.com/index.php/archive/openssl-how-to-create-self-signed-certificate/ja/ 上記参照されれば如何ですか? 公的証明でないのに更新する必要性が分かりませんが・・・
補足
社内で使うのに必要みたいで、やはり公的では無いみたいです。 社内は外部に繋ぐネット環境がないので今はインターネットエクスプローラー開けない状態で先ほどのURLみれないです。 例えば私的な証明書だと -daysというものをいじれば良いのですか? >openssl.exe△x509△-in△server.csr△-days△365△-req△-signkey△server.key>server.crt とコマンドをうったのですが、今日更新したら今日から一年有効期限に変わってしまいました。 前のファイルのバックアップがあるので戻しましたが、残存期間引き継ぎのコマンドはどうするのでしょうか?
- nolix
- ベストアンサー率19% (110/572)
sever.csrがあるならhttpsやrapidなどで中身を確認してみては如何でしょうか?確認すべきこと。 公的証明なのか? 公的証明でないなら、opensslを使って更新できますが、元々公的証明でないので、期限が切れていようが関係ないでしょう。 更新しなければならないのは、公的証明である場合ですよね。
補足
「このCAルート証明書は信頼されていません。信頼を有効にするにはこの証明書を信頼されたルート証明期間のストアにインストールしてください。このセキュリティ証明書は信頼する会社から発行されていません。 このセキュリティ証明書の日付は有効です」 という風に表示されています。 確認したのですが、csrファイルがあると言うことは公的だとネットに書いてありました。 上の文章(信頼する会社から発行されていません)とは関係しませんか? もし公的であれば、 更新する日は今日で 有効期限が 2009年10月10日から 2010年10月10日になる方法教えていただけませんか??無知ですみません
- nolix
- ベストアンサー率19% (110/572)
公的証明なら、 該当サーバーにcsrファイルが残っているはずです。 /etc/httpd/ssl.csr(多分こんな感じだったかな?) そのcsrを用いて、申請すればよいだけです。 後はcrtファイルを発行してもらい、サーバーの特定場所に、特定のパーミッションで置けば終わりです。 /etc/httpd/ssl.crt
補足
csrファイルあります。 server.csrってものです。 公的証明書じゃない気がします。 Opensslってもので更新しています。 例えばそのやり方ですと2009年8月25日に更新すると。 有効期限 2008年10月10日から 2009年10月10日が 2009年10月10日から 2010年10月10日になりますか。?
- Donotrely
- ベストアンサー率41% (537/1280)
OpenSSLなどというキーワードがあるなら迷わず出すべきでしたね。 これは残念ながら自分には他人に提供できるほどの知識がありません。 そのうち研究しようと思ってましたけど。 ただ、お話をお伺いする限り、どこかから指示されてる訳でも無さそうなので、 これはたぶんですけどいわゆる「オレオレ証明書」の発行とインストールの話みたいですね。 もし識者が現れなかったら自分で検索して頑張るしかないでしょうけど、 OpenSSL 自己認証局 証明書作成 http://www.google.co.jp/search?sourceid=navclient&hl=ja&ie=UTF-8&rlz=1T4GGLJ_ja&q=OpenSSL+%e8%87%aa%e5%b7%b1%e8%aa%8d%e8%a8%bc%e5%b1%80+%e8%a8%bc%e6%98%8e%e6%9b%b8%e4%bd%9c%e6%88%90 あたりをあたるんでしょうね。もし識者が現れなかったら頑張って下さい。
- Donotrely
- ベストアンサー率41% (537/1280)
問題は、証明書発行先との関係でしょうか?インストールの話でしょうか? 識者が居たとしても、こんな質問の仕方だと、 切実でもないし的を外して追加で答えるのも面倒、と判断する可能性がかなり高いと思います。
補足
すみません。 おそらく発行先だと思われます 初めて行う作業で周りにも知っている人はおらずネットで検索するにも、こっちの知識が少なく短期間で理解するのが難しく、この様な変な聞き方になったんだと思います。 今回Opensslというのをインストールして作業を行っています。 自分で調べる限り更新は, 前のファイルを削除し、新しくファイル追加する場合と、有効期限が切れた場合に更新できると書いてあるのを見つけました。 しかし、期限が切れた後では遅いので、切れる前に更新し、例えば 2009年08月24日に更新し、 2009年10月10日から 2010年10月10日へ日付が変わるようにしたいのです。 まだ聞き方がおかしいでしょうか? おかしい事すら気付かないくらいの知識しかなく申し訳ないと思ってます。
お礼
ありがとうございました。参考にさせていただきました。 今日SSLの仕事おわりました。