SSL

subjectAltNameに対応した自己署名証明書の作り方

More than 1 year has passed since last update.

subjectAltNameに対応した自己署名証明書の作り方

背景

開発用に自己署名証明書を使っているのですが、Chrome 58からSSL証明書のCNが無視されてsubjectAltNameが必須になってしまいましたので、それに対応するための自己署名証明書を作ってみました。

参考元

前提

  • CentOS7のopensslを使います
  • /etc/pki/tls/openssl.cnf はインストール後に変更されていないものとします
  • 対象は「*.intra.hoge.jp」とします

作成

$ openssl req \
  -newkey rsa:2048 \
  -days 3650 \
  -nodes \
  -x509 \
  -subj "/C=/ST=/L=/O=/OU=/CN=*.intra.hoge.jp" \
  -extensions SAN \
  -config <( cat /etc/pki/tls/openssl.cnf \
    <(printf "[SAN]\nsubjectAltName='DNS:*.intra.hoge.jp'")) \
  -keyout server.pem \
  -out server.crt

生成されたファイル

  • server.pem: 秘密鍵
  • server.crt: 証明書

証明書の内容確認

$ openssl x509 -text -in server.crt