CN設定ちゃんとしたのに? セキュリティ警告画面の対処法

Infrastracture

今回はSSL関連の記事です。

オレオレ認証局を立て、(CNには、サーバのドメイン名指定)

オレオレ認証局により、署名したサーバ証明書をブラウザのトラストストアにインポートした

にもかかわらず、セキュリティ警告画面が出てしまいました。

今日はその対処法を紹介します。

結論からいうと、Chromeのversion58から証明書のCNはSAN(Subject Alternatiove Name)にしないといけなくなったみたいです。

ってことで、SAN対応のSSL証明書の発行手順を残します。

コマンドはこれ。

注意点は、上記コマンドの実行前にopensslの設定ファイルを修正しないといけません!

ってのもSAN対応にするためです。

Linuxだと多分ここにある「/etc/pki/tls/」

このディレクトリのopenssl.cnfをいじります。念のためバックアップをとっておいてください。ま、大丈夫やけど(笑)

では、いじります。

vi /etc/pki/tls/openssl.cnf

でエディタモードになったらいっちゃん下にこれを記述します

このサーバ証明書に使うドメインの部分に使用したいドメイン名を書いていってください。「example.com」的な感じで。

※ここ、ワイルドカードでやってみたけどセキュリティ警告画面がやっぱり出るんで、ワイルドカードは使えないかもです。

設定したら、さっきのコマンドを上からやってってください。

一応説明していくと、上の3行。これはオレオレ認証局用のコマンドです

・秘密鍵の作成コマンド

・署名要求のコマンド

・openssl.cnfを使用して証明書を作成するコマンド

作成が終えたらこのコマンドで中身を見てください

って表記があれば完璧です!

で、次クライアント証明書を作成します。上のコマンドでチャチャっと作っちゃってください。

サーバ証明書に関しても同様です。

ただ、このサーバ証明書のCN部分は注意が必要です!

ここ、サーバのドメイン名に合わせなかった場合、セキュリティ警告画面が出ました!合わせておきましょう!

両方作成ができたら、クライアント用の秘密鍵と証明書をダブルクリックで取り込めるようにp12形式に変換します。

そのコマンドがいっちゃん下のやつ。

作成したら、ローカルにもってきてダブルクリック!取り込めましたね。

サーバ証明書に関しては、お使いのサーバに入れちゃってください。

Apacheかnginxなら、既に解説している記事がありますので、そちらを確認してね。

設定がすべて完了したら、サーバにアクセスしてみましょう!

はい。セキュリティ警告画面が出ることなく、クライアント証明書の選択ポップアップが表示され、選択し次へ進むと無事に画面表示できましたね!

以上、CNにドメイン名設定したのに、セキュリティ警告画面が出たときに対処法でしたーーー

参考サイト: https://blog.fileshelfplus.com/vps/312

コメント

タイトルとURLをコピーしました