サーバー証明書をもらって,しばらくそのままにしていたら早く古い証明書を失効させなさいとメイルが来た。
まだ新しい証明書を配置していなかった。それでこれまでと同じように設定したところ chrome が認証しない。それでこのページをよくよく読んでみると,どうもやり方が変更されているようです。まずクロスルート証明書なるものが必要になったみたいで(一時的なものなのかもしれないが),他にも中間証明書の取り扱い方が変更されていました。
下記の4個のファイルが必要です。
- いつものサーバー証明書,以下では kanaike.susi.oita-u.ac.jp.cer
- 中間証明書,以下では nii-odca4g8rsa-pem.cer
- クロスルート証明書,以下では tlsrsarootca2024cross-pem.cer
- 秘密鍵,以下では abcdefg.key
ファイルを合体させます。
cat kanaike.susi.oita-u.ac.jp nii-odca4g8rsa-pem.cer tlsrsarootca2024cross-pem.cer > kanaike_combined.crtこれを,apache に配置します。合体したファイルを以前のサーバー証明書の位置に置きました。秘密鍵はこれまでと同じです。
SSLCertificateFile /etc/ssl/certs/kanaike_combined.crt
SSLCertificateKeyFile /etc/ssl/private/abcdefg.key
中間証明書は指定しません。#を残して無効のままにしておきます。
#SSLCertificateChainFile /etc/apache2/ssl.crt/server-ca.crtこれで何とかなりました。
これまでは秘密鍵をつくるときに 200 kb 程度のファイル3個が必要でしたが,今回それはなくなっていました。あと有効期限が 200 日に短縮されていたり,それは最終的には 47 日とかになるようで,これから大変になりそう。