SSL証明書を取得する時に使用する 秘密鍵 と CSR、取得した SSL証明書 の組み合わせが正しくない場合、正しくSSL通信が行えなくなる。

証明書の申請前、証明書の取得後に 鍵のペアを確認しておくことで、証明書の事故を防ぐことができる。

秘密鍵と証明書のペアを確認する方法

それぞれのファイルのペアを確認するには、ファイルのチェックサムを取得して値を比較する。

秘密鍵ファイルのチェックサム取得方法

openssl rsa -noout -modulus -in <秘密鍵ファイル> | openssl md5

SSL証明書ファイルのチェックサム取得方法

openssl x509 -noout -modulus -in <SSL証明書ファイル> | openssl md5

CSRファイルのチェックサム取得方法

openssl req -noout -modulus -in <CSRファイル> | openssl md5

取得後の証明書のチェインの確認

取得した証明書のチェインを確認しておく。
証明書のチェインを確認しておかないと、証明書と秘密鍵が正しくても、証明書の承認のリレーションが確認できないためエラーとなる。

openssl verify -CAfile <(cat /etc/pki/tls/certs/ca-bundle.crt [中間証明書] ) [取得した証明書] 

例)
openssl verify -CAfile <(cat /etc/pki/tls/certs/ca-bundle.crt dvcacert.cer ) www.hogehoge.com.crt
www.hogehoge.com: OK

組み込む予定の 中間証明書 と 取得した証明書を パラメータとして与え、「OK」が表示されればルート証明書から取得した証明書までのチェインが正しいことを確認できる。

証明書の有効期限の確認

証明書の有効期限がいつから、いつまでなのかを確認するために、以下のコマンドを実行する。

openssl x509 -noout -dates -in [取得した証明書] 

例)
openssl x509 -noout -dates -in www.hogehoge.com.crt 
notBefore=Mar  5 07:14:16 2024 GMT
notAfter=Apr  6 07:14:15 2025 GMT

これらの確認を実施することで、証明書の更新での問題が発生しないように確認作業ができる。