opensslコマンドについて

OS（RedhatLinux6）、WebAP（Apache）で負荷分散機を使用しWEBAPサーバ2台構成のシステムを保守しています。このサーバにSSL証明書を導入するため、OPENSSLコマンドを使用して証明書を作成しています。その手順について不明点を以下に取りまとめました。お手数ですが回答を頂ければと思います。

①OPENSSLコマンドでcsrファイル、秘密鍵ファイル等を作成しますが、特にサーバで稼働中のシステムに影響はないと考えてよろしいでしょうか。
②期限切れ等でSSL証明書を更新する場合ですが、障害等で旧証明書に戻す場合は証明書関連のファイルを古いものに戻してApacheの再起動を実施すればよろしいでしょうか。
③今回のSSL証明書を導入するサーバは、前述の通り負荷分散機経由で2台構成です。そのため、FQDN名（www.・・・・）は、2台のサーバで同一のものを使用していますが、作成するcsrファイル、秘密鍵ファイル等は、どちらか一方のサーバで作成しそれをもう一つのサーバにコピーすればよろしいでしょうか。

初歩的な質問ですが、よろしくお願いします。

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　以上

No.1 ベストアンサー 回答者： naoiz 回答日時： 2021/02/24 02:36

> ①OPENSSLコマンドでcsrファイル、秘密鍵ファイル等を作成しますが、特にサーバで稼働中のシステムに影響はないと考えてよろしいでしょうか。

はい、影響は無いです。

> ②期限切れ等でSSL証明書を更新する場合ですが、障害等で旧証明書に戻す場合は証明書関連のファイルを古いものに戻してApacheの再起動を実施すればよろしいでしょうか。

旧証明書が有効期限前である場合は、という意味であればそうです。

> ③今回のSSL証明書を導入するサーバは、前述の通り負荷分散機経由で2台構成です。そのため、FQDN名（www.・・・・）は、2台のサーバで同一のものを使用していますが、作成するcsrファイル、秘密鍵ファイル等は、どちらか一方のサーバで作成しそれをもう一つのサーバにコピーすればよろしいでしょうか。

構成によりますが、それでもいいです。
ただ、普通は『負荷分散機』に証明書を入れSSLアクセラレーターとして動作させておいて、負荷分散機と配下のサーバはプレーンなHTTPで通信させるのが一般的な構成かと思います。

この回答へのお礼

お礼が遅くなって申し訳ありません。
わかりやすい回答ありがとうございます。
非常に助かりました。

お礼日時：2021/02/27 22:26