タグ: OpenSSL

半月くらい前に書いてたエントリー、公開し忘れてたので今更感一杯だが公開。

俺サーバはCOMODOの安い証明書を買ってるので良いのだけど、内部利用だけで使ってるサーバでオレオレ証明書使ってるところがあって、正規証明書ジャナイヨと怒られるのはよくある事。
しかし、Chrome 37以降だと、正規証明書と判断されないと、パスワードフォームで覚えたID/PWが使えないという困った事態に。

色々と試した結果、オレオレ証明書は実際に利用するクライアントPCにインストールすればよくて、脆弱な証明書と言われた別の原因が、1024bitかつmd5アルゴリズム署名なんという前時代的な発行の仕方をしてたことで×だったのでした。まぁこのオレオレ作ったの実に7年前だし…

ということで、オレオレつくりかえメモ。2048bit, SHA-2で発行。SHA-1でも怒られなかったんだけど、どうせ今の流れだとすぐSHA-1があぼんされちゃうしね。
尚、OpenSSL0.9.8以降でないと、-sha256 オプションないので注意。発行した証明書は0.9.7なサーバでも使えた。(←やったんかい)

$ openssl req -x509 -days 7300 -newkey rsa:2048 -nodes -sha256 -out server.crt -keyout server.key