Rapid-SSL.jp with HAProxy 覚書

Rapid-SSL.jp より購入した SSL/TLS サーバー証明書を HAProxy に組み込むまで

最終更新日: 2018-02-10

入手

購入の途中で、CSR をサイト上で作成した場合、秘密鍵と CSR が提示されるが、特にこの秘密鍵を忘れないように保存しておく。

無事に購入すると、以下のような内容のメールが送られてくる。 

SSLサーバ証明書発行通知

〜

この度はRapid-SSL.jpをご利用頂き有難うございました。
ご注文いただきましたSSLサーバ証明書の発行が完了いたしましたのでご連絡申し上げます。証明書は、このメー
ルの末尾に表示されていますのでお客様サーバへインストールしてご利用下さい。また、中間証明書のインストー
ルもお忘れになりませんようご注意下さい。

お申込番号 : ABC123456789012
オーダーID : 12345678
コモンネーム: hoge.foo.orz

以下のURLにて一般的なサーバーへのインストール手順をご覧いただけますのでご参照下さい。 証明書のご利
用(インストール)方法については弊社ではサポートいたしかねますのでご了承下さい。
https://knowledge.rapidssl.com/support/ssl-certificate-support/index?page=content&id=SO16226

https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?page=content&id=SO24090#app

中間証明書はこのメールの末尾にあります。

以下のサイトから入手も可能です。
https://knowledge.rapidssl.com/support/ssl-certificate-support/index?page=content&id=INFO1548
( 通常は「under SHA-1 Root」の方をご使用下さい)


秘密鍵・証明書等はバックアップをお取りになることをお薦めいたします。


再発行セルフサービス
-----------------------------------------------------
弊社よりお申込のお客様は、証明書有効期間中無償で再発行を行う事が出来ます。CSRをご用意の上、弊社ホー
ムページ内証明書ステータス画面より「再発行」をクリックして下さい。(ジオトラスト社のサイトからは再発
行を行わないで下さい)

https://securitycenter.rapid-ssl.jp/rapidssl-support/ssl-support.htm

〜

==========================
SSLサーバ証明書(X.509形式)
---------------------------------------

-----BEGIN CERTIFICATE-----
〜
-----END CERTIFICATE-----

〜

---------------------------------------
SSLサーバ証明書のご利用には中間証明書のインストールが必要です。


中間証明書(INTERMEDIATE CA):
---------------------------------------

-----BEGIN CERTIFICATE-----
〜
-----END CERTIFICATE-----

または、メールにも書いてある以下から、「お申込番号」とパスワードを入力しても、「SSL証明書」「中間証明書」「SSL証明書・中間証明書結合版」が得られる。 (「SSL証明書・中間証明書結合版」は単に「SSL証明書」と「中間証明書」を順に並べたもの)

https://securitycenter.rapid-ssl.jp/rapidssl-support/ssl-support.htm

HAProxy 用に組み込み

(メールには「以下のURLにて一般的なサーバーへのインストール手順をご覧いただけます」などと書いてあったが HAProxy については載ってなかった)

SSLサーバ証明書(X.509形式) と、中間証明書と、秘密鍵を、一つのファイルに結合する。

以下のようなファイル名に保存していたとすると、

SSLサーバ証明書: cert.pem
中間証明書: chain.pem
秘密鍵: privkey.pem

以下のように。 

% cat cert.pem chain.pem privkey.pem > server.pem

(または「SSL証明書・中間証明書結合版」を fullchain.pem などというファイルに保存しておいて cat fullchain.pem privkey.pem > server.pem でもいけるだろう)

あとは server.pem を HAProxy から参照できるように組み込む。 (Let's Encrypt! (with Docker / HAProxy) を参考)

証明書の更新について

以下に案内があるようだ。

http://www.rapid-ssl.jp/rapidssl-order/ssl-renew.htm

おまけ

証明書の中身を確認してみたいという場合、openssl コマンドを使って、以下のように表示させてみることができる。 

% openssl x509 -text -noout -in cert.pem

CSR の場合は以下のように。 (CSR を csr.pem というファイル名で保存していたとする) 

% openssl req -text -noout -in csr.pem

秘密鍵の場合は以下のように。 

% openssl rsa -text -noout -in privkey.pem

以上

index