Chrome 58にアップデートしたらオレオレ証明書が信用されなくなった(SubjectAltName付きで証明書の再作成)

Chromeのアップデートをしたところ、こちらの手順で作成していたオレオレ証明書が、何故か信用されない証明書として扱われるようになってしまった。なんじゃこりゃ、と思って調べて見たところ、こちらをみるとどうやらRFC2818ではSubjectAltNameに利用するホスト名を記述する方法が推奨されているらしく、CommonNameは非推奨になっているらしい。で、Chrome 58からはそれに則ってSubjectAltNameが無いとエラーになるという。おおぅ…

こうなるとサーバ証明書を作り直す必要がある。作り直すのはサーバ証明書だけでよい。
とりあえず、まず以下のようにコマンドを実行しCSR(newreq.pem)を作成する。

openssl req \
  -new \
  -key server.key \
  -out newreq.pem \
  -days 3650 \
  -subj "/C=JP/ST=Tokyo/L=Tachikawa/O=Test.Inc/CN=*.blacknon.local" \
  -config <(printf "[req]\nreq_extensions = v3_req\ndistinguished_name = req_distinguished_name\n[req_distinguished_name]\n[v3_req]\nbasicConstraints = CA:FALSE\nkeyUsage = nonRepudiation, digitalSignature, keyEncipherment\nsubjectAltName='DNS.1:*.blacknon.local'") \

 

CSRの作成後、ICAの設定ファイル(前回の作成手順だと/etc/pki/tls/openssl_ica.cnf)で以下の項目のコメントアウトを解除する。

● /etc/pki/tls/openssl_ica.cnf

copy_extensions = copy
Sponsored Links

コメントアウトの解除後、以下のコマンドを実行してSubjectAltName付きの証明書を発行する。

/etc/pki/tls/misc/ICA -sign

 

以上。あとは、発行した証明書を使って設定してやるだけだ。

 

【参考】

 

 


Written by blacknon

インフラエンジニア(…のつもり)。 仕事で使うならクライアントはWindowsよりはUNIXの方が好き。 大体いつも眠い。

Leave a Comment

メールアドレスが公開されることはありません。

*