SSL証明書更新の鉄則
まずapacheの再起動ができるかどうかだけを確認せよ。
そのあと証明書を更新すべし。
両方同時にやればどっちが原因かわからなくなって1時間ばかり右往左往することになる。
私がCSRを取得してKに設置をお願いしたところ、Kから連絡がきた。
CSRが間違ってるかもしれないから再取得をしてくれだって。
おいおい。安易に再発行なんかしてやらねーよ。
しょうがないからこっちでapacheのエラーをみてみた。
「サブシテムがロックされています 」
だとか
[crit] (17)File exists: unable to create scoreboard "/hogehoge/httpd.scoreboard" (name-based shared memory failure)
だとか
Unable to configure RSA server private key
だとか言われている。
はぁ?ロック?なんのこと?
CSR云々じゃないんじゃないの?
CSRが原因だっちゅーのなら元のCSRと秘密鍵に戻したらどうよと言ってやる。
で、結局同じエラーで立ち上がらないんだって。
K「リブートします」
えー!?リブート??!!
紆余曲折はおいといて、電源再投入。
無事再起動できました。はい。
古いCSRのままで。
なんでそこで即座に新しいCSRにしてくれないんだよっ!!
次の週にもう一度再起動することになって、夜中待機させられ
無事再起動できたと真夜中に連絡を受ける。
ひどすぎ。
#追記
openssl verify で証明書を検証できます。
ちゃんと実行してOKを見ておけば、apache再起動しなくても
CSRが正しいかどうかわかります。