さくらSSL証明書 再発行配備 FilemakerServer
FileMaker Server を利用しているさくらインターネットから下記の案内がきました。
要するに
「JPRS社のSSLサーバー証明書に問題があり、再発行してね。」
というお知らせ。
セットアップ時は限られた時間の中、試行錯誤していたのでちゃんとした手順が残っていなかったので、これを機にまとめなおしたいと思います。
バックアップ
はじめに、現在の証明書を念の為バックアップ。下記の手順を参考に。
管理画面からダウンロードすることも可能です。
申請書の再発行手続き
さくらから送られてきたメール内にあるリンクから手続きを開始します。
認証種別の選択が必要です。
私は該当ドメインで運用しているメールアドレスがないため「ファイル認証」を選びました。初回も「ファイル認証」になるんだったと思います。
再発行でメールを選んだ場合どういう手順かはちょっとわかりかねます。
SSLサーバ証明書 認証ファイルのアップロード
再発行ボタンをクリックすると「SSLサーバ証明書 認証ファイルのアップロードのお願い」というメールがきます。そちらの手順に少し補足しながら続けると、
▽STEP1-認証ファイルのダウンロード
会員メニューにログイン
https://secure.sakura.ad.jp/menu/service/index.php
「契約情報」の一覧から該当サービスの「サーバ証明書」ボタンをクリック
のうえ詳細画面より認証ファイルをダウンロードしてください。
ここはそのままです。"[ランダムな文字列].txt" ファイルがダウンロードできます。
▽STEP2-認証ファイルのアップロード
ダウンロードした認証ファイルを、申請時に指定したFQDN(コモンネーム)
配下にアップロードしてください。
※認証ファイルは以下のいずれかのURLに配置してください。
※認証ファイル名は、[ランダムな文字列].txtです。ファイル名は申請ごとに
異なります。
※「/.well-known/pki-validation/」のフォルダはお客さまで作成ください。
例)
http://[ルートドメイン名]/.well-known/pki-validation/[ランダムな文字列].txt
https://[ルートドメイン名]/.well-known/pki-validation/[ランダムな文字列].txt
ここがちょっとわかりづらいのですが、サーバにダウンロードした"[ランダムな文字列].txt" をアップロードするにはどこに置けばいいのか?
Windows ServerでFilemaker Serverを運用している場合は下記になります。
C:\Program Files\FileMaker\FileMaker Server\HTTPServer\conf\.well-known\pki-validation上記にファイルを設置できたら下記いずれかのURLにアクセスしてアップロードできているか確認します。
http://ドメイン名/.well-known/pki-validation/[ランダムな文字列].txt
https://ドメイン名/.well-known/pki-validation/[ランダムな文字列].txtアクセスできれば認証ファイルのアップロードは完了。数分で次のステップのメールがきます。
▽STEP3-SSLサーバ証明書のインストール
SSLサーバ証明書発行完了後、以下件名のメールをお送りします。
件名:[さくらインターネット]JPRS SSLサーバ証明書発行のお知らせ
JPRS SSLサーバ証明書発行のお知らせでご案内している手順をご確認のうえ
SSLサーバ証明書ご利用サーバへ、SSLサーバ証明書をインストールください。
サーバ証明書と中間証明書のダウンロード
メールの案内に従い、サーバ証明書と中間証明書をダウンロードします。
リンクに飛んでクリックするだけで入手できたので省きます。
STEP3-SSLサーバ証明書・中間CA証明書のインストール
に関しては今回のケースでは説明が全く該当しないため、後述します。
ドメイン名に対する CSR/プライベートキーの生成
更新時は既存のCSRを再利用できるので、パスワードを覚えていれば省略可能です。パスワードがわからない場合は再生成しましょう。
CSRの作成方法(FileMaker Server 18.0.1 以前 および FileMaker Server 18.0.3 以降):
※18.0.2が対象外なのは不具合があるためなので、該当の場合は先にVerUPしましょう
いくつか上記サイトの注意点。
cd “C:¥Program Files¥FileMaker¥FileMaker Server¥Database Server”
→何故かパスが見つからないと言われたの、cdで1階層ずつ移動した。きっとサーバに何らかの理由があると思います。
次のいずれかのコマンドを実行します:
fmsadmin certificate create <fqdn> --keyfilepass <secret>
または
fmsadmin certificate create "/C=<Country Code>/ST=<State>/L=<Locality Name>/O=<Organization Name>/CN=<Common Name (fqdn)>" --keyfilepass <secret>
→前者のコマンドではJPRSの認証を通らないとかいう情報も。自分も躓いた気がするのですが確かではありません。念の為後者コマンドで実行したほうがよいかと。
具体例はこんな感じ。日本語部分をアルファベットで設定しなおす。
fmsadmin certificate create /C=JP /ST=県名 /L=市町村名 /O=会社名 /CN=該当ドメイン --keyfilepass パスワード
コマンドを実行すると /FileMaker Server/CStore/ フォルダに下記ファイルが生成されます。
serverRequest.pem:SSL証明書購入時に必要なCSR
serverKey.pem:証明書をインポートする際に必要なプライベートキーファイル
これでファイル作成は完了です。
FileMaker Server に証明書をインポート
前述の
STEP3-SSLサーバ証明書・中間CA証明書のインストール
の作業です。メールにある手順では管理画面も違い参考になりません。
残りの作業はインポートだけなので、必要な作業がわかっていれば簡単です。
Clarisの公式ページの手順も少し違っているのですが、違う点を太字で記載しておきます。
1.Admin Console で [構成] - [SSL 証明書] を開きます
2.[カスタム証明書のインポート] をクリックします
(画面はこんな感じ)
3.表示されたダイアログで以下の内容を指定してください:
■署名済みの証明書ファイル :CA から提供された <yourDomainName>.crt
→※JPRSの場合は「server.crt」
■プライベートキーファイル :/FileMaker Server/CStore/ にあるserverKey.pem
→一つ前の工程で作成したファイル。or 過去に作成済みでパスワードがわかるもの
■中間証明書ファイル: 前のステップで作成した chain.pem
→中間証明書はダウンロードしたものそのまま使える(例:JPRS_DVCA_G4_PEM.cer)。直接指定でOKです。
■プライベートキーパスワード プライベートキーファイル (serverKey.pem) の作成時に暗号化パスワードを設定した場合は、プライベートキーのパスワードを入力します
4.[インポート] をクリックします
5.FileMaker Server を再起動します
これでJPRS社のSSLサーバー証明書の再発行と再配備は完了です。
FileMaker と Webブラウザから該当ドメインにアクセスしてみれば確認できます。