SSLサーバ証明書をコマンドを使ってCA認証局とやり取りしながらサーバにインストールした記録♪ | oki2a24 でインストールしました、SSL サーバ証明書をアンインストール、、、といいましても、SSL ソフトのパッケージをアンインストールするわけではございません。
どちらかといいますと、サーバの mod_ssl パッケージの設定から、導入した SSL サーバ証明書の記述を取り除いて無効化する、という表現がよいかと思います。それでは、始めます。
インストールした SSL サーバ証明書の無効化手順
1.SSL 設定用 conf ファイルの編集
SSL 設定用 conf ファイル内の秘密鍵、SSL サーバ証明書、中間 CA 証明書の指定を無効化して、OpenSSL と Apache を連携させる mod_ssl をインストールした当初の状態に戻します。
[root@oki2a24 ~]# vim /etc/httpd/conf.d/ssl.conf
それぞれ次の行をコメントなどにして無効にします。
- 秘密鍵 → SSLCertificateKeyFile
- SSL サーバ証明書 → SSLCertificateFile
- 中間 CA 証明書 → SSLCertificateChainFile
それから Apache 再起動で反映させるのですけれども、引っかかったポイントがありました。
- mod_ssl をインストールした当初の状態に戻したいので、中間 CA 証明書はコメントにするのみで OK。秘密鍵、SSL サーバ証明書は、元々の行のコメントを外す
インストールした SSL サーバ証明書の行をコメントにし、インストール直後から書いてあった元々の行のコメントを外したのですが、中間 CA 証明書はインストール後の最初からコメント化されております。
それを忘れて、コメント化してしまいました。次のようなエラーとなりました。
[root@oki2a24 ~]# /etc/init.d/httpd restart
httpd を停止中: [ OK ]
httpd を起動中: Syntax error on line 130 of /etc/httpd/conf.d/ssl.conf:
SSLCertificateChainFile: file '/etc/pki/tls/certs/server-chain.crt' does not exist or is empty
[失敗]
[root@oki2a24 ~]#
このエラーを修正して、再び Apache の再起動をします。
[root@oki2a24 ~]# /etc/init.d/httpd restart httpd を停止中: [失敗] httpd を起動中: [ OK ] [root@oki2a24 ~]#
わたくし、ここではじめて気が付きました。最初に mod_ssl をインストールしたときは、秘密鍵にパスコードが設定されていないのですね。 Apache を起動した時、パスコードの入力を求められません。勉強になりました。
さて、設定も変更し終わりましたので、生成したりインストールしたりしました SSL 関連のファイルを削除するなりします。わたくしは、/tmp に移動させました。
2.ウェブブラウザから SSL サーバ証明書を確認します♪
ウェブブラウザから、https でサイトにアクセスします。そして URL 左の鍵アイコンをクリックし、接続タブの証明書情報リンクから、証明書を表示します。
次のように、インストールしたテスト用無料 SSL サーバ証明書ではなく元々のサーバ証明書が表示されれば OK、これで完了です。
おわりに
SSL の操作方法について大分理解が深まりました。これで、臆することなく SSL の世界へ踏み込むことができることでしょう。
以上です。