HsbtDiary

■ CentOS 5 のルート証明書の一部が期限切れになったので対処していた

昨夜 21:00 からエラー通知のメールがもの凄い勢いで届きだして何事!と思ったら、見事にグローバルサインのルート証明書の期限切れを踏んでいた。その時は接続先が証明書の差し替えをミスったのかなと思って暫定対処だけして、朝から詳細調査を開始した。

まず、ちゃんと調べるのに簡単な https クライアントを Ruby で書いて検証してみたら、開発で使っている Mac では大丈夫なので本番環境の CentOS のルート証明書が古いということでがっくり。

CentOS 5.9 の openssl のパッケージや updates の最新版全部で検証してみたけどダメだったので CentOS 6.5 のパッケージからルート証明書だけを持って来て puppet で差し替えるという対処で乗り切った。とほほ。

ちゃんとしたまとめはこちら。

• RHEL5/CentOS5でGlobalSignのルート証明書が有効期限切れで大騒ぎ - インフラエンジニアway - Powered by HEARTBEATS
• Red Hat Customer Portal

RHEL 5 ではもう対処パッケージが配布され始めているようなので、CentOS 5 にふってくるのを待ってから openssl をちゃんとアップデートするという感じかなあ。この機会にルート証明書についても nagios か何かで検知せねば。