SSL

マルチドメインSSLのCSRの作り方

May 22, 2017

AD:

マルチドメインSSLというのものが存在することを、今回はじめて知りました。
WildcardSSLはたまに使っていましたが、今はマルチドメインSSLなんてあるんですね。
便利な世の中になりました。
読んで字のごとく、一つにCertificateで複数ドメインをサポートするものです。

で、csrを作成しないと行けなかったのですが、今までのCSRの作成方法では基本１つしかドメインを指定できないので、すこし違うのでメモしておきます。

OpenSSL Config Fileをコピー

OpenSSL Config Fileをコピーして編集します。

cp /etc/ssl/openssl.cnf /var/www/example.com/cert/example.com.cnf

1	cp /etc/ssl/openssl.cnf /var/www/example.com/cert/example.com.cnf

Editing Config File

vi /var/www/example.com/cert/example.com.cnf
//  ここをコメントアウト
#req_extensions = v3_req
to
req_extensions = v3_req

vi /var/www/example.com/cert/example.com.cnf

// ここをコメントアウト

#req_extensions = v3_req

req_extensions = v3_req

[ v3_req ] の部分を検索して下記のパラメーターを追加

subjectAltName = @alt_names

1	subjectAltName = @alt_names

今回対象のドメインを下記のように追加してください。

[ alt_names ]
DNS.1 = www.example.com
DNS.2 = example.com

[ alt_names ]

DNS.1 = www.example.com

DNS.2 = example.com

OpenSSL Private Key & CSR

Private keyを作成します。

openssl genrsa -out example.com.key 2048

1	openssl genrsa -out example.com.key 2048

このKeyと先程のexample.com.cnfを使ってCSRを作成します。

openssl req -new -key example.com.key -out example.com.csr -config example.com.cnf

1	openssl req -new -key example.com.key -out example.com.csr -config example.com.cnf

Test

openssl req -in example.com.csr -noout -text

1	openssl req -in example.com.csr -noout -text

で追加したドメインがこんな感じみれたらOKです。

Certificate Request:
    Data:
        Version: 0 (0x0)
        Subject: C=IN, ST=MH, L=PUNE, O=RTCAMP SOLUTIONS PRIVATE LIMITED., CN=www.example.com/emailAddress=admin@example.com
	[...]
            X509v3 Basic Constraints: 
                CA:FALSE
            X509v3 Key Usage: 
                Digital Signature, Non Repudiation, Key Encipherment
            X509v3 Subject Alternative Name: 
                DNS:www.example.com, DNS:example.com
	[...]

Certificate Request:

Data:

Version: 0 (0x0)

Subject: C=IN, ST=MH, L=PUNE, O=RTCAMP SOLUTIONS PRIVATE LIMITED., CN=www.example.com/emailAddress=admin@example.com

[...]

X509v3 Basic Constraints:

CA:FALSE

X509v3 Key Usage:

Digital Signature, Non Repudiation, Key Encipherment

X509v3 Subject Alternative Name:

DNS:www.example.com, DNS:example.com

[...]

参考先
https://easyengine.io/wordpress-nginx/tutorials/ssl/multidomain-ssl-subject-alternative-names/

Namecheapで$9のSSL(PositiveSSL)を購入してApache mod-sslに設定する

Mar 13, 2015

AD:

Namecheapさんで、Comodo PositiveSSLを購入して、apache + mod_sslの環境下に設定したので、来年のためにメモ

登録用のCSRの作成

$ openssl req -new -newkey rsa:2048 -nodes -keyout server.key -out server.csr
Country Name (2 letter code) [AU]:AU
State or Province Name (full name) [Some-State]:New South Wales
Locality Name (eg, city) []:Sydney
Organization Name (eg, company) [Internet Widgits Pty Ltd]:&#20250;&#31038;&#21517;&#12384;&#12424;
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:&#12489;&#12513;&#12452;&#12531;
Email Address []:&#12513;&#12540;&#12523;&#12450;&#12489;&#12524;&#12473;

$ openssl req -new -newkey rsa:2048 -nodes -keyout server.key -out server.csr

Country Name (2 letter code) [AU]:AU

State or Province Name (full name) [Some-State]:New South Wales

Locality Name (eg, city) []:Sydney

Organization Name (eg, company) [Internet Widgits Pty Ltd]:会社名だよ

Organizational Unit Name (eg, section) []:

Common Name (e.g. server FQDN or YOUR name) []:ドメイン

Email Address []:メールアドレス

証明書の認証

購入後、SSL Certificatesの画面よりActiveにする。

すると登録した確認用メールに下記のようなメールが届きます。
validation codeがあるので、それを使用して認証をすすめます。

次に、サーバに設置するようの鍵ファイルが送られてきます。

こんな感じの証明書ですね
– Root CA Certificate – AddTrustExternalCARoot.crt
– Intermediate CA Certificate – COMODORSAAddTrustCA.crt
– Intermediate CA Certificate – COMODORSADomainValidationSecureServerCA.crt
– Your PositiveSSL Certificate – ドメイン名.crt

証明書を作る

上記の鍵から証明書を作る
やっていることは、単純に３つの鍵をドメイン.cerにまとめているだけです。

cat COMODORSAAddTrustCA.crt COMODORSADomainValidationSecureServerCA.crt AddTrustExternalCARoot.crt &gt; &#12489;&#12513;&#12452;&#12531;.cer

1	cat COMODORSAAddTrustCA.crt COMODORSADomainValidationSecureServerCA.crt AddTrustExternalCARoot.crt > ドメイン.cer

apacheに設置

$ sudo vi /etc/apache2/sites-available/default-ssl
# &#12513;&#12540;&#12523;&#12391;&#28155;&#20184;&#12373;&#12379;&#12390;&#12365;&#12383;&#12418;&#12398;
SSLCertificateFile    /home/user/ssl-key/&#12489;&#12513;&#12452;&#12531;.crt
# &#19968;&#30058;&#12399;&#12376;&#12417;&#12395;&#33258;&#20998;&#12391;&#20316;&#12387;&#12383;&#12418;&#12398;
SSLCertificateKeyFile /home/user/ssl-key/server.key
# &#65299;&#12387;&#12388;&#12398;&#12501;&#12449;&#12452;&#12523;&#12434;&#12414;&#12392;&#12417;&#12383;&#12418;&#12398;
SSLCACertificateFile  /home/user/ssl-key/&#12489;&#12513;&#12452;&#12531;.cer

$ sudo vi /etc/apache2/sites-available/default-ssl

# メールで添付させてきたもの

SSLCertificateFile /home/user/ssl-key/ドメイン.crt

# 一番はじめに自分で作ったもの

SSLCertificateKeyFile /home/user/ssl-key/server.key

# ３っつのファイルをまとめたもの

SSLCACertificateFile /home/user/ssl-key/ドメイン.cer

Twitter:
Warning: Undefined array key "Twitter" in /home/sazaeau/mizoshiri.com/public_html/blog.mizoshiri.com/wp-content/plugins/sns-count-cache/sns-count-cache.php on line 2897
0 | Facebook: 0 | Google Plus:
Warning: Undefined array key "Google+" in /home/sazaeau/mizoshiri.com/public_html/blog.mizoshiri.com/wp-content/plugins/sns-count-cache/sns-count-cache.php on line 2897
0 | Hatena: 1 | Pocket: 1 | Total: 2 | Feedly: 0