MENU
  1. ホーム
  2. Apache
  3. ApacheでHTTP/2を有効にした状態でSSL証明書を更新する手順を詳しく解説

ApacheでHTTP/2を有効にした状態でSSL証明書を更新する手順を詳しく解説

Apache

Apache環境でSSL証明書を更新する際、特にHTTP/2を有効にしている場合は、通常の証明書更新手順に加え、特有の設定確認や動作確認が必要です。本記事では、HTTP/2の有効化状態を維持しながら、SSL証明書を安全かつ確実に更新するための手順を解説します。また、Apacheの設定やトラブルシューティングの方法も詳しく説明し、読者が自身の環境に適切に対応できるようサポートします。

目次

HTTP/2とSSLの基礎知識

HTTP/2とは何か


HTTP/2は、従来のHTTP/1.1の後継プロトコルで、Webページの高速化や効率的なデータ転送を実現します。その主な特徴には以下が含まれます。

  • 多重化:一つのTCP接続で複数のリクエストとレスポンスを同時に処理します。
  • ヘッダー圧縮:通信のオーバーヘッドを減らすために、ヘッダー情報を圧縮します。
  • 優先順位付け:リソースの優先順位を設定して効率的にロードします。

SSL証明書の役割


SSL(Secure Sockets Layer)は、通信を暗号化することで、データの盗聴や改ざんを防ぎます。現在はTLS(Transport Layer Security)が一般的ですが、SSLという名称が広く使われています。SSL証明書は、次の目的で使用されます。

  • 暗号化:クライアントとサーバー間の通信を保護します。
  • 認証:Webサイトの信頼性を証明し、なりすましを防ぎます。

HTTP/2とSSLの関係


HTTP/2は、SSL/TLS通信が前提条件となる場合が多く、特に主要なブラウザでは暗号化された接続(HTTPS)でのみHTTP/2をサポートしています。このため、SSL証明書が正しく設定されていないとHTTP/2の機能が利用できません。HTTP/2とSSLは密接に関連しているため、証明書更新時にはHTTP/2の設定維持にも注意が必要です。

ApacheのHTTP/2対応状況の確認

Apacheのバージョン確認


HTTP/2はApache 2.4.17以降でサポートされています。まず、現在使用しているApacheのバージョンを確認します。以下のコマンドを実行してください:

httpd -v

または、システムによっては以下のコマンドでも確認できます:

apache2 -v

出力例:

Server version: Apache/2.4.41 (Ubuntu)

バージョンが2.4.17未満の場合、HTTP/2を利用するにはApacheをアップグレードする必要があります。

mod_http2モジュールの確認


ApacheでHTTP/2を有効にするには、mod_http2モジュールがインストールされ、ロードされている必要があります。以下のコマンドでインストール済みのモジュールを確認します:

apachectl -M | grep http2

出力例:

 http2_module (shared)

上記の出力がない場合、モジュールが有効になっていません。a2enmodコマンドを使用して有効化します:

sudo a2enmod http2
sudo systemctl restart apache2

HTTP/2が有効か確認する


Apacheの設定ファイルにProtocolsディレクティブが含まれているか確認します。設定ファイルの例は以下の通りです:

<VirtualHost *:443>
    Protocols h2 http/1.1
    ...
</VirtualHost>

この設定がない場合、Protocols h2 http/1.1を追加し、Apacheを再起動します:

sudo systemctl restart apache2

WebブラウザでHTTP/2を確認


ブラウザのデベロッパーツールで実際にHTTP/2が利用されているか確認します。以下は一般的な手順です:

  1. ページを右クリックして「検証」または「開発者ツール」を開きます。
  2. 「ネットワーク」タブを選択し、対象のリクエストを確認します。
  3. プロトコル欄にh2が表示されていればHTTP/2が有効です。

以上の手順でApacheサーバーがHTTP/2に対応しているかを確認できます。

SSL証明書の更新に必要な準備

SSL証明書更新の前提条件


SSL証明書を更新する前に、以下の条件を確認しておく必要があります:

  1. 既存の証明書情報の確認
  • 証明書の有効期限を確認します。期限が迫っている場合、早めの更新が推奨されます。
  • 現在使用している証明書ファイル(.crt.key、中間証明書ファイル)の場所を確認します。 コマンド例:
   openssl x509 -in /path/to/certificate.crt -text -noout

有効期限や発行元の情報が表示されます。

  1. 証明書の発行元にアクセス可能であること
    証明書発行元(CA)にアクセスし、新しい証明書を取得するためのアカウント情報や権限が必要です。

バックアップの取得


SSL証明書の更新作業中に問題が発生した場合に備え、以下のデータをバックアップします:

  • 現在の証明書ファイル(.crt.key.pemなど)
  • Apacheの設定ファイル(httpd.confapache2.conf、およびsites-available内の仮想ホスト設定ファイル)

バックアップコマンド例:

sudo cp /etc/apache2/sites-available/example.conf /etc/apache2/sites-available/example.conf.bak
sudo cp /path/to/certificate.crt /path/to/certificate.crt.bak

証明書の取得方法の確認


証明書の更新は以下の方法で行うことが一般的です:

  1. 自動更新(Let’s Encryptなど)
  • Certbotなどのツールを使用する場合、既存の設定を確認して更新コマンドを実行します。
  • 例:
    bash sudo certbot renew
  1. 手動更新
  • 証明書発行元(CA)の管理コンソールにログインして新しい証明書を取得します。
  • 証明書と中間証明書ファイルをダウンロードします。

更新スケジュールの確保

  • 更新作業には一定時間のダウンタイムが発生する可能性があります。事前にスケジュールを調整し、Webサイトの利用者への影響を最小限に抑えます。
  • 証明書の有効期限切れにより、サービスが停止することを防ぐため、余裕を持って更新を行いましょう。

必要なツールの確認


証明書更新作業に必要なツールをインストールしておきます:

  • OpenSSL(証明書の検証に使用)
  • Certbot(Let’s Encryptを使用する場合)
  • SCP/SFTPクライアント(リモートサーバーに証明書を転送する場合)

これらの準備が整った後、具体的なSSL証明書の更新作業に進むことができます。

Apache設定ファイルの確認と修正

SSL証明書のパスを確認


SSL証明書の更新後、Apacheの設定ファイルに新しい証明書へのパスを指定する必要があります。Apacheでは、仮想ホスト設定ファイル(通常は/etc/apache2/sites-available/または/etc/httpd/conf.d/内)に以下のような記述があります。

<VirtualHost *:443>
    ServerName example.com
    DocumentRoot /var/www/html

    SSLEngine on
    SSLCertificateFile /path/to/new/certificate.crt
    SSLCertificateKeyFile /path/to/private.key
    SSLCertificateChainFile /path/to/chain.pem
</VirtualHost>
  1. SSLCertificateFile
  • 新しい証明書ファイル(.crt)のパスを指定します。
  1. SSLCertificateKeyFile
  • 証明書の秘密鍵(.key)のパスを指定します。通常、既存のファイルをそのまま使用します。
  1. SSLCertificateChainFile
  • 中間証明書(チェーン証明書)のパスを指定します。これにより信頼チェーンが完全になります。

新しい証明書を反映するための修正


更新した証明書ファイルを適切な場所に配置し、仮想ホスト設定ファイル内のパスを新しいファイルに変更します。

修正例:

SSLCertificateFile /etc/ssl/certs/new_certificate.crt
SSLCertificateKeyFile /etc/ssl/private/private.key
SSLCertificateChainFile /etc/ssl/certs/chain.pem

HTTP/2に関連する設定の確認


SSL証明書を更新した後、HTTP/2が引き続き有効であることを確認するため、Protocolsディレクティブが適切に設定されているか確認します。

Protocols h2 http/1.1

この設定がない場合、追加してください。

Apacheの設定ファイルの検証


設定ファイルを修正した後、Apacheの構文チェックを行い、エラーがないか確認します。
コマンド例:

sudo apachectl configtest

出力例:

Syntax OK

エラーが表示された場合、設定ファイルの記述を再確認してください。

Apacheの再起動


設定を反映させるために、Apacheを再起動します。
コマンド例:

sudo systemctl restart apache2

または

sudo systemctl restart httpd

設定内容の確認


再起動後、以下の方法で設定が正しく反映されているか確認します:

  1. ブラウザでHTTPS接続を確認
    サイトにアクセスし、ブラウザのアドレスバーに鍵マークが表示されているか確認します。
  2. SSL証明書の内容を確認
    OpenSSLを使用して新しい証明書情報を取得します:
   openssl s_client -connect example.com:443


証明書の有効期限や発行元が正しいことを確認してください。

これでApache設定ファイルの修正とSSL証明書の反映作業が完了です。

SSL証明書の更新手順

1. 証明書の取得


SSL証明書の更新は、以下の方法で行います。

Let’s Encryptを利用する場合


Let’s Encryptを使用している場合は、Certbotを用いて自動更新できます。
以下のコマンドを実行します:

sudo certbot renew


成功メッセージが表示されれば、証明書の更新が完了しています。

証明書発行元(CA)から手動で取得する場合

  1. 証明書発行元(CA)の管理コンソールにログインします。
  2. ドメイン認証を行い、新しい証明書をダウンロードします。通常、以下のファイルが提供されます:
  • SSL証明書(.crt
  • 中間証明書(.pemまたは.ca-bundle

2. 新しい証明書の配置


取得した証明書ファイルをサーバーにアップロードし、既存の証明書ファイルを置き換えます。以下は一般的なファイル配置場所です:

  • 証明書ファイル:/etc/ssl/certs/
  • 秘密鍵ファイル:/etc/ssl/private/
  • 中間証明書ファイル:/etc/ssl/certs/

コマンド例:

sudo mv new_certificate.crt /etc/ssl/certs/
sudo mv chain.pem /etc/ssl/certs/

3. Apache設定ファイルの更新


新しい証明書へのパスを仮想ホスト設定ファイルに反映します。
例:

<VirtualHost *:443>
    SSLEngine on
    SSLCertificateFile /etc/ssl/certs/new_certificate.crt
    SSLCertificateKeyFile /etc/ssl/private/private.key
    SSLCertificateChainFile /etc/ssl/certs/chain.pem
</VirtualHost>

設定ファイルを編集後、構文チェックを行います:

sudo apachectl configtest

Syntax OKと表示されれば問題ありません。

4. Apacheの再起動


新しい証明書を反映させるために、Apacheを再起動します:

sudo systemctl restart apache2

5. 証明書の更新結果を確認

ブラウザで確認


Webブラウザでサイトにアクセスし、アドレスバーの鍵アイコンをクリックして証明書情報を確認します。新しい証明書の有効期限が正しく表示されていれば更新は成功です。

OpenSSLで確認


以下のコマンドを使用して新しい証明書情報を確認します:

openssl s_client -connect example.com:443

出力に新しい証明書の詳細が含まれていることを確認してください。

オンラインツールを使用


SSL Labsなどのオンラインツールを使用して、証明書とHTTPS接続の状態をチェックします。

6. HTTP/2の動作確認


証明書更新後もHTTP/2が有効であることを確認します:

  1. Webブラウザの開発者ツールでHTTP/2が有効(h2プロトコル)であることを確認します。
  2. サーバーのログファイルでHTTP/2接続が記録されているか確認します。

以上でSSL証明書の更新手順が完了です。

HTTP/2有効化後の動作確認方法

1. HTTP/2が有効であるかの基本確認


SSL証明書を更新した後、HTTP/2が引き続き有効であるか確認します。以下の方法で検証を行います。

ブラウザを使った確認

  1. Webブラウザを開き、対象のサイトにアクセスします(例: https://example.com)。
  2. 開発者ツールを開きます(F12キーや右クリック→「検証」)。
  3. 「ネットワーク」タブを選択し、任意のリクエストをクリックします。
  4. 「プロトコル」または「バージョン」フィールドでh2と表示されていればHTTP/2が有効です。

オンラインツールを使用する

  • KeyCDN HTTP/2 Test などのオンラインツールを利用し、対象ドメインがHTTP/2を使用しているか確認できます。

2. サーバーログでの確認


ApacheのログファイルでHTTP/2接続が記録されているか確認します。

ログの確認手順

  1. Apacheのアクセスログファイルを確認します(通常は/var/log/apache2/access.logまたは/var/log/httpd/access_log)。
  2. HTTP/2が有効な接続では、h2がリクエストプロトコルとして記録されます。
    コマンド例:
   cat /var/log/apache2/access.log | grep "h2"

ログフォーマットの設定(オプション)


ログにHTTPプロトコルを明示的に記録するよう設定されていない場合は、Apacheのログフォーマットをカスタマイズします。
apache2.confまたはhttpd.confに以下を追加します:

LogFormat "%h %l %u %t \"%r\" %>s %b \"%{User-Agent}i\" %H" combined

再起動後、HTTP/2のプロトコルが記録されます。

3. HTTP/2の詳細動作確認

curlコマンドを使用


curlを使ってサーバーがHTTP/2で応答しているか確認します。以下のコマンドを実行します:

curl -I --http2 -k https://example.com

出力にHTTP/2と表示されていれば、HTTP/2が有効です。

HTTP/2のヘッダー情報を確認


追加でcurlを使って詳細なHTTPヘッダー情報を確認します:

curl -v --http2 -k https://example.com

出力内に以下のような記載があれば、HTTP/2接続が確立しています:

* Using HTTP2

4. エラーの確認と対処


HTTP/2が有効でない場合、以下の点を確認してください:

  1. ApacheのHTTP/2モジュールが有効か確認
   apachectl -M | grep http2

有効でない場合、sudo a2enmod http2を実行し、Apacheを再起動します。

  1. SSL設定の確認
    Apache設定ファイルのProtocolsディレクティブでh2が指定されているか確認します:
   Protocols h2 http/1.1
  1. SSL/TLSバージョン
    HTTP/2はTLS1.2以上が必要です。Apache設定で以下を確認します:
   SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1

これらの方法でHTTP/2の動作を確認し、SSL証明書更新後も問題なく動作することを保証します。

まとめ


本記事では、ApacheでHTTP/2を有効にした状態でSSL証明書を更新する手順について詳しく解説しました。HTTP/2とSSLの基礎知識から、Apache設定の確認と修正、証明書の更新、そしてHTTP/2が正しく動作しているかの確認方法までを網羅的に紹介しました。

適切な手順で作業を進めることで、SSL証明書を安全に更新しながら、高速で効率的なHTTP/2の接続を維持できます。今後の証明書更新時には、本記事の内容を参考に作業をスムーズに進めてください。

Apache
ssl Apache HTTP/2 証明書更新

コメント

コメントする

目次