SSL証明書のメモ
※認識違っているかもしれないので、ご注意ください。

1.httpのサイトを構築する場合は、証明書は不要だけど
  httpsのサイトを構築する場合は、証明書が必要
0101-SSL01


2.httpsのサイト証明書は、IEの場合は、鍵マークをクリックして確認できる。
0101-SSL21


3.発行先に、対象となるサイトのURLを記載されている。
  発行者に、証明書を発行したものの情報が記載されている。
  有効期間に、証明書の有効期間が記載されている。
0101-SSL22




4.証明のパス で、この証明書はどのようにして発行されているかわかる。
  今回だと、①サイト証明書 ②中間証明書 ③ルート証明書 の3段階になっている
0101-SSL23



5.ブラウザの「証明書」の「信頼されたルート証明機関」に、↑の発行者が入っているので警告が表示されない
0101-SSL24

  
無い場合は、以下のような警告がでる。
0203-APACHE-err


IEでは証明書エラーがでないが、Chromeでは証明書エラーが出る。。。

(1)暗号化ハッシュが、SHA1のものは警告ととなる。
(2)証明書に、サブジェクト代替名(SAN属性)が無いものは警告となる。

AD認証機関のインストール時に暗号化ハッシュをSHA1にした場合は、以下の手順でSHA256に変更
①以下のレジストリを変更
 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration\<CA名>\CSP
  のCNGHashAlgoritm の値がを"SHA1"から"SHA256"に変更し証明書サービスを再起動

②「証明機関」を起動し、左ペインのツリーで CA 名のアイコンを右クリック→すべてのタスク→「CA 証明書の書き換え(W)」をクリック
 CA 証明書のインストール」画面が表示されるので「はい(Y)」をクリック
 CA 証明書の置き換え」画面が起動するので左下のラジオボタンで「いいえ(O)」を選択して「OK」をクリック

AD認証機関の場合は、以下の手順でサブジェクト代替名の項目を証明書に追加する
サブジェクト代替名の項目を追加 ※一度だけ以下を実施
certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
証明書サービスを再起動

証明書発行
certreq -submit -attrib "CertificateTemplate:webserver" -attrib "san:dns=*.test.local"