FreeBSD9.3 -> 11.0のUpgradeがようやく落ち着いた矢先に
SSLプライベート証明書がエラーになるようになりました
(missing_subjectAltNameとか)
Google Chrome 58からのセキュリティ対策らしいのですが
Androidにまで影響が出ているのでなんとかせねばなりません
いろいろ調べて結果以下の様な証明書で回避したのでメモ
前提として、 SSLプライベート証明書(オレオレ証明書)が server.csr,server.keyファイルと apacheで運用しているとします
- OpenSSLのコンフィグを修正
/etc/ssl/openssl.cnf# 以下の行のコメントを外す ... [ CA default ] ... <# copy_extensions = copy > copy_extensions = copy ...
- v3.extファイルを作成
v3.extauthorityKeyIdentifier=keyid,issuer basicConstraints=CA:TRUE keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment subjectAltName = @alt_names [alt_names] DNS.1 = (domain name) <-- ここをドメインに
- csr, key ファイルを作成する
# openssl req -new -sha256 -nodes -out server.csr -keyout server.key
- crt ファイルを作成する
# openssl x509 -req -in server.csr -signkey server.key -out server.crt -days 365 -extfile v3.ext
- apache再起動