Edited at

subjectAltNameに対応した自己署名証明書の作り方

More than 1 year has passed since last update.


subjectAltNameに対応した自己署名証明書の作り方


背景

開発用に自己署名証明書を使っているのですが、Chrome 58からSSL証明書のCNが無視されてsubjectAltNameが必須になってしまいましたので、それに対応するための自己署名証明書を作ってみました。


参考元


前提


  • CentOS7のopensslを使います

  • /etc/pki/tls/openssl.cnf はインストール後に変更されていないものとします

  • 対象は「*.intra.hoge.jp」とします


作成

$ openssl req \

-newkey rsa:2048 \
-days 3650 \
-nodes \
-x509 \
-subj "/C=/ST=/L=/O=/OU=/CN=*.intra.hoge.jp" \
-extensions SAN \
-config <( cat /etc/pki/tls/openssl.cnf \
<(printf "[SAN]\nsubjectAltName='DNS:*.intra.hoge.jp'")) \
-keyout server.pem \
-out server.crt


生成されたファイル


  • server.pem: 秘密鍵

  • server.crt: 証明書


証明書の内容確認

$ openssl x509 -text -in server.crt