SSL証明書更新の鉄則

まずapacheの再起動ができるかどうかだけを確認せよ。
そのあと証明書を更新すべし。

両方同時にやればどっちが原因かわからなくなって1時間ばかり右往左往することになる。

私がCSRを取得してKに設置をお願いしたところ、Kから連絡がきた。
CSRが間違ってるかもしれないから再取得をしてくれだって。

おいおい。安易に再発行なんかしてやらねーよ。

しょうがないからこっちでapacheのエラーをみてみた。

「サブシテムがロックされています 」

だとか

[crit] (17)File exists: unable to create scoreboard "/hogehoge/httpd.scoreboard" (name-based shared memory failure)

だとか

Unable to configure RSA server private key

だとか言われている。

はぁ？ロック？なんのこと？
CSR云々じゃないんじゃないの？
CSRが原因だっちゅーのなら元のCSRと秘密鍵に戻したらどうよと言ってやる。

で、結局同じエラーで立ち上がらないんだって。

K「リブートします」

えー！？リブート？？！！

紆余曲折はおいといて、電源再投入。

無事再起動できました。はい。
古いCSRのままで。

なんでそこで即座に新しいCSRにしてくれないんだよっ！！

次の週にもう一度再起動することになって、夜中待機させられ
無事再起動できたと真夜中に連絡を受ける。

ひどすぎ。

＃追記
openssl verify で証明書を検証できます。
ちゃんと実行してOKを見ておけば、apache再起動しなくても
CSRが正しいかどうかわかります。