技術雑記

chrome の警告¶

• chrome では特定バージョンより、SSL 証明書に SAN が設定されていないと警告を出し続けるようになった
  • SAN (Subject Alternative Name)：署名の有効範囲 (複数ドメインなど) を指定する設定

参考 Web¶

• [Zenn] OpenSSLで自己署名証明書を作成する（複数ホスト名：SAN／Subject Alternative Name設定付き）

証明書の作成までの基本ステップ¶

• 基本ステップは
  1. 対象ホストの秘密鍵1 作成
  2. 秘密鍵1 から証明書署名要求(csr)作成
  3. (本来は認証局(CA)が行う) 証明書署名要求(csr)と秘密鍵2 から、証明書(crt)作成
• ただし、自己証明書では2種の秘密鍵が同一ホストのものであり、同じものを使用する

証明書への SAN 設定¶

• csr → crt の生成時に、SAN 設定を記載したファイルを指定する

openssl での SAN 入り証明書作成手順¶

• 秘密鍵生成

  openssl genrsa -out domain.key 4096
  

• 証明書署名要求生成

  openssl req -new -key domain.key -out domain.csr
  

  • 所在地やメールアドレスの入力が対話的に行われる (自己証明なら不要、Common Name は入力)

• SAN 設定ファイルの作成 (SAN.txt)

  subjectAltName = DNS:docker.smismith.com, IP:133.18.125.43
  

  • 名前は DNS: に続けて、IP アドレスは IP: に続けて、いくつでもカンマ区切りで記載

• 証明書生成

  openssl x509 -req -days 3650 -in domain.csr -signkey domain.key -out domain.crt -extfile SAN.txt