subjectAltNameに対応した自己署名証明書の作り方
背景
開発用に自己署名証明書を使っているのですが、Chrome 58からSSL証明書のCNが無視されてsubjectAltNameが必須になってしまいましたので、それに対応するための自己署名証明書を作ってみました。
参考元
前提
- CentOS7のopensslを使います
- /etc/pki/tls/openssl.cnf はインストール後に変更されていないものとします
- 対象は「*.intra.hoge.jp」とします
作成
$ openssl req \
-newkey rsa:2048 \
-days 3650 \
-nodes \
-x509 \
-subj "/C=/ST=/L=/O=/OU=/CN=*.intra.hoge.jp" \
-extensions SAN \
-config <( cat /etc/pki/tls/openssl.cnf \
<(printf "[SAN]\nsubjectAltName='DNS:*.intra.hoge.jp'")) \
-keyout server.pem \
-out server.crt
生成されたファイル
- server.pem: 秘密鍵
- server.crt: 証明書
証明書の内容確認
$ openssl x509 -text -in server.crt