# SSL更新作業 **"上記確認していただきどんな作業が必要かを、まず整理いただけますでしょうかm(_ _)m"** 社内QAの下記は(環境構築の過程で)既に完了済みと仮定 ``` Step1:アパッチのインストール Step2：modsslのインストール ``` ## 作業手順 1. 秘密鍵・公開鍵(RSAキー)でEC2にSSHログイン 1. /etc/httpd/ssl/ssl2021 フォルダを作成 (インスタンス内の/etc/httpd/ssl/にssl2021フォルダを作成) 1. openssl req -new -nodes -newkey rsa:2048 -keyout ssl2021.key -out ssl2021.csr コマンド(サーバに既にopensslインストール済みと仮定) 1. 'Common Name (eg, your name or your server's hostname) []:www.novelworks.jp 　←　対象ドメインを入力' 1. 'A challenge password []:　パスワード入力（今回は「Novelworks0421」）'　パスワード何にしよう、、 1. 秘密鍵はrootのみ参照モードにする：chmod 400 ssl2021.key 1. Step5:SSL証明書を購入する（アクティベートまで一気に！） 1. Step6：中間CA証明書とSSL証明書ファイルの作成 Step4で作成したssl2017ディレクトリにメール添付内容をコピペしてファイルを作成する ssl2021.cer　　ssl2021.crt 1. Step7：ssl.conf（/etc/httpd/conf.d/ssl.conf）の設定 以下のファイルパスを作成した各証明書のパスに変更する SSLCertificateFile /etc/httpd/ssl/ssl2017/ssl2021.crt　　　　←　SSL証明 SSLCertificateKeyFile /etc/httpd/ssl/ssl2017/ssl2021.key　　←　秘密鍵 SSLCertificateChainFile /etc/httpd/ssl/ssl2017/ssl2021.cer　←　中間証明書 1. Step8：アパッチ再起動！！！ <br> <br> # 確認したい ### /etc/httpd/ssl/ssl2021 フォルダを作成 (インスタンス内の/etc/httpd/ssl/にssl2021フォルダを作成) sftpソフトは必須でしょうか？ ### Step5:SSL証明書を購入する（アクティベートまで一気に！） こちら有料であれば僕以外の方が対応した方が良いでしょうか？（自分でやった時はcertbotで無料のやつ取得しました。エンタープライズだと違うのでしょうか） <br> <br> # 用語 SSH(Secure Shell)： 鍵をつけて経路を暗号化する。 SSL(Secure Sockets Layer)： 通信が暗号化されている。 <br> <br> # 参考 自分が1月(?)に行ったSSL取得作業と比較しながら必要な作業を確認しています。 [ チュートリアル: Amazon Linux 2 に SSL/TLS を設定する ](https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/SSL-on-amazon-linux-2.html#ssl_certificate) <br> <br> ### 念のため、内容の共有後、こちらメモは非公開に設定します。 <br> <br> <br> <br> <br> <br> <br> <br> <br> /// ### メモ(書いているうちに色々思い出した) →基本、解決済みなので疑問はスルーしてください ぼんやりとイメージする作業手順 1. SSH接続でローカル環境のターミナルからノベルのEC2環境にログインする。(2と順番逆？) 1. 秘密鍵・公開鍵を置くフォルダを確認する(自分のが既にあるけど、必要あれば作る)。ローカルのsshフォルダにpem入れるでいいかな？sftpソフト?(秘密鍵＝pemだと思っています。間違いですか？) 1. 秘密鍵(RSAキー?)を作りCSRを作る。 1. SSL証明書の発行。→自分でやった時はcertbotを使ったから、よくわからん。もしかして有料なのかな？だとしたら自分でやる前にノベルに確認しないと。certbotは無料だったけど、企業用とかで違うのかな？ 1. 「* サーバーに、cerとcrtを作成する（内容コピペする。EC2？）」インスタンス開いてみないとよくわからない。「Step7：ssl.conf（/etc/httpd/conf.d/ssl.conf）の設定　以下のファイルパスを作成した各証明書のパスに変更する」インスタンス内でvimでパス変更だろう。自分で作った環境ではないから、開いた段階で構成確認しよう。 pemって都度作るのかな。更新作業なら初めに作ったやつがありそう。 SSLストアにて証明書購入：　ここは自分でやるのではなく、ノベルに購入してもらって必要な情報を送ってもらう方がいいか？