ノウハウ
[初心者向け]

SSLサーバ証明書のSHA-2への対応について

ノウハウ
テクニカルサポート

多くの金融機関のサイトやオンラインストア、企業サイトなどで採用されている「SSLサーバ証明書」において、
root権限を提供している、仮想専用サーバ/専用サーバサービスをご利用のお客様向けの参考情報を紹介します。

まず、各認証局がアナウンスをしている、
ハッシュアルゴリズム「SHA-2」への移行に関する参考情報を紹介します。

■参考情報
・[日本ジオトラスト]ジオトラストSHA-2対応版証明書の取扱い開始とSHA-1版証明書提供終了に関するお知らせ
https://www.geotrust.co.jp/news/2014/20141028.html

・[シマンテック]ハッシュアルゴリズムのSHA-1からSHA-2への移行に関して
http://www.symantec.com/ja/jp/page.jsp?id=ssl-sha2-transition

・[サイバートラスト]SHA-1証明書の受付終了とSHA-2証明書への移行について
https://www.cybertrust.ne.jp/ssl/sureserver/sha1ms.html

1 EX-CLOUDでのSSLサーバ証明書の代行サービスについて

EX-CLOUDでは、SSLサーバ証明書の代行サービスとして、
以下のような手続きを代行する有償のサービスを提供しています。

■代行サービスの概要

・SSLサーバ証明書の期限管理および期限前に更新確認の連絡
・SSLサーバ証明書の代行申請およびインストール代行作業
※Plesk非搭載プランは、SSLサーバ証明書の代行申請のみで、
インストールはお客様作業

■SSL証明書比較

http://ex-cloud.jp/support/question/g-575

EX-CLOUDでは、お客様がご利用されているサーバとは異なるサーバにて、
CSRおよび秘密鍵の作成を行います。
その上で認証局に対してお客様の代行で申請をして、
認証局から発行されたSSLサーバ証明書と秘密鍵を併せて、
ご利用されているサーバにインストール作業を行います。
※Plesk非搭載プランは代行申請のみ当社作業
なお、お客様からSHA-1版の発行希望が無い場合には、
SHA-2版SSLサーバ証明書での発行とさせていただきます。

2 お客様にてSSLサーバ証明書の管理をしている場合について

EX-CLOUDでは、root権限を提供している仮想専用サーバ/専用サーバサービスで、
Plesk有無のプランをご用意しております。

Plesk搭載プランでは、2015年1月28日時点において、Pleskのメーカーより、
当社が各サービスで提供しているバージョン「8.x」および「11.0.x」では、
アップデートなどでの対応予定は未定であることがアナウンスされています。
そのため、Plesk非搭載プランと同様に、お客様にてSHA-2版のCSRなどが作成されるように、
サーバの設定作業をしていただきます。

以下内容はPleskのメーカーから参考情報としてアナウンスがあり、
当社での動作確認の結果、SHA-2版のCSRがPlesk上の操作で発行出来た設定手順を紹介します。
なお、コマンド操作になりますので、各種操作には十分ご注意ください。

3 設定手順

a、以下ファイルに2行の設定を追加します。

対象ファイル:/usr/local/psa/admin/conf/openssl.cnf
設定追加内容:
default_bits = 2048
default_md = sha256

設定内容(設定変更前):
[ req ]
attributes=req_attributes
distinguished_name=req_distinguished_name

[ req_attributes ]
challengePassword = A challenge password
unstructuredName = An optional company name

[ req_distinguished_name ]
countryName = Country Name
stateOrProvinceName = State or Province Name
localityName = Locality Name
organizationName = Organisation Name
organizationalUnitName = Organization Unit Name
commonName = Common Name
emailAddress = Email Address

設定内容(設定変更後):
[ req ]
attributes=req_attributes
distinguished_name=req_distinguished_name

default_bits = 2048
default_md = sha256

[ req_attributes ]
challengePassword = A challenge password
unstructuredName = An optional company name

[ req_distinguished_name ]
countryName = Country Name
stateOrProvinceName = State or Province Name
localityName = Locality Name
organizationName = Organisation Name
organizationalUnitName = Organization Unit Name
commonName = Common Name
emailAddress = Email Address

b、Pleskのサービス「psa」の再起動

psaの再起動コマンド:
# /etc/init.d/psa restart

■参考情報

・How to change signature algorithm in SSL certificate request
http://kb.odin.com/en/123904

この記事を書いた人

テクニカルサポート

テクニカルサポートを得意とするエクスクラウドのサポートスタッフ。

この記事のタグ

オススメの記事

ページトップへ