2017年05月13日

Chrome58対応オレオレ証明書

FreeBSD9.3 -> 11.0のUpgradeがようやく落ち着いた矢先に
SSLプライベート証明書がエラーになるようになりました
(missing_subjectAltNameとか)
Google Chrome 58からのセキュリティ対策らしいのですが
Androidにまで影響が出ているのでなんとかせねばなりません

いろいろ調べて結果以下の様な証明書で回避したのでメモ

前提として、 SSLプライベート証明書(オレオレ証明書)が server.csr,server.keyファイルと apacheで運用しているとします

  1. OpenSSLのコンフィグを修正
    /etc/ssl/openssl.cnf
    # 以下の行のコメントを外す
    ...
    [ CA default ]
    ...
    
    <# copy_extensions = copy
    > copy_extensions = copy
    
    ...
    
  2. v3.extファイルを作成
    v3.ext
    authorityKeyIdentifier=keyid,issuer
    basicConstraints=CA:TRUE
    keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
    subjectAltName = @alt_names
    
    [alt_names]
    DNS.1 = (domain name) <-- ここをドメインに
    
  3. csr, key ファイルを作成する
    # openssl req -new -sha256 -nodes -out server.csr -keyout server.key
    
  4. crt ファイルを作成する
    # openssl x509 -req -in server.csr -signkey server.key -out server.crt -days 365 -extfile v3.ext
    
  5. apache再起動
posted by sanahi at 02:50| 滋賀 ☔| Comment(0) | TrackBack(0) | FreeBSD | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。

この記事へのトラックバック

Remarks
記事中にソースコードが含まれる場合、ソースコードの再利用、改変、「オレのものにする」等は自由ですが、
ソースコードを利用して起こった問題は一切責任を負いません。(自己責任での利用となります。)
×

この広告は180日以上新しい記事の投稿がないブログに表示されております。