OpenSSL で SAN 付きの自己署名証明書を作成する

サーバー証明書に自己署名証明書を使っているとブラウザが警告を表示しますが、クライアント PC に証明書をインストールしても Chrome だけは警告が消えませんでした。 Chrome はコモンネームではなく SAN(Subject Alternative Name) をチェックしているからだそうです。（Chrome 58 以降） そこで、以前 OpenSSL を使って自己署名証明書を作成しましたが、 - [OpenSSL を使って自己署名証明書を作成する](http://kuttsun.blogspot.com/2018/04/openssl.html) 今回はこれに SAN を加える方法です。 細かい説明は以前の記事（上記）に書いてあるので、ここでは実行するコマンドのみを載せたいと思います。 ## SAN 用のテキストファイルを用意 事前準備として、以下のように SAN の内容を記述したテキストファイルを用意します。 ファイル名は何でも構いません（今回は `san.txt` という名前で保存しました）。 ```shell subjectAltName = DNS:*.example.com, IP:172.20.0.1 ``` DNS ではワイルドカードが使えますが、IP では使えません。 ## 自己署名証明書の作成手順 ### 秘密鍵の作成 以下のコマンドは公開鍵暗号方式として RSA を利用した 2048bit の秘密鍵 server.key を作成しています。 ```shell > openssl genrsa -out server.key 2048 ``` ### 証明書署名要求の作成 先ほど作成した秘密鍵 `server.key` を指定して証明書署名要求 `server.csr` を作成しています。 ```shell > openssl req -out server.csr -key server.key -new ``` いろいろ聞かれるので、適当に入力します。 ### サーバー証明書の作成 通常は上記で作成した証明書署名要求 `server.csr` を自分の秘密鍵 `server.key` で署名してサーバー証明書を作成します。 ここが前回と異なるところです。 SAN を付加するために `-extfile san.txt` が追加になっています。 ```shell > openssl x509 -req -days 3650 -signkey server.key -in server.csr -out server.crt -extfile san.txt ``` 尚、上記は有効期限が 10 年間のサーバー証明書 `server.crt` を作成しています。 ## 確認 SAN が付加されているか確認します。 ```console > openssl x509 -text -in sample.crt -noout ``` `X509v3 Subject Alternative Name:` にテキストファイルに記述した SAN が追加されていれば OK です。 ## 参考 URL - https://kazuhira-r.hatenablog.com/entry/20180803/1533302929 - https://teratail.com/questions/77446 - https://tech.torico-corp.com/blog/chrome58-https-ssl-cert-san-error/