SSL証明書のメモ
※認識違っているかもしれないので、ご注意ください。
1.httpのサイトを構築する場合は、証明書は不要だけど
httpsのサイトを構築する場合は、証明書が必要
2.httpsのサイト証明書は、IEの場合は、鍵マークをクリックして確認できる。
3.発行先に、対象となるサイトのURLを記載されている。
発行者に、証明書を発行したものの情報が記載されている。
有効期間に、証明書の有効期間が記載されている。
4.証明のパス で、この証明書はどのようにして発行されているかわかる。
今回だと、①サイト証明書 ②中間証明書 ③ルート証明書 の3段階になっている
5.ブラウザの「証明書」の「信頼されたルート証明機関」に、↑の発行者が入っているので警告が表示されない
無い場合は、以下のような警告がでる。
AD認証機関のインストール時に暗号化ハッシュをSHA1にした場合は、以下の手順でSHA256に変更
※認識違っているかもしれないので、ご注意ください。
1.httpのサイトを構築する場合は、証明書は不要だけど
httpsのサイトを構築する場合は、証明書が必要
2.httpsのサイト証明書は、IEの場合は、鍵マークをクリックして確認できる。
3.発行先に、対象となるサイトのURLを記載されている。
発行者に、証明書を発行したものの情報が記載されている。
有効期間に、証明書の有効期間が記載されている。
4.証明のパス で、この証明書はどのようにして発行されているかわかる。
今回だと、①サイト証明書 ②中間証明書 ③ルート証明書 の3段階になっている
5.ブラウザの「証明書」の「信頼されたルート証明機関」に、↑の発行者が入っているので警告が表示されない
無い場合は、以下のような警告がでる。
IEでは証明書エラーがでないが、Chromeでは証明書エラーが出る。。。
(1)暗号化ハッシュが、SHA1のものは警告ととなる。
(2)証明書に、サブジェクト代替名(SAN属性)が無いものは警告となる。
AD認証機関のインストール時に暗号化ハッシュをSHA1にした場合は、以下の手順でSHA256に変更
①以下のレジストリを変更
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration\<CA名>\CSP
のCNGHashAlgoritm の値がを"SHA1"から"SHA256"に変更し証明書サービスを再起動
②「証明機関」を起動し、左ペインのツリーで CA 名のアイコンを右クリック→すべてのタスク→「CA 証明書の書き換え(W)」をクリック
CA 証明書のインストール」画面が表示されるので「はい(Y)」をクリック
CA 証明書の置き換え」画面が起動するので左下のラジオボタンで「いいえ(O)」を選択して「OK」をクリック
AD認証機関の場合は、以下の手順でサブジェクト代替名の項目を証明書に追加する
サブジェクト代替名の項目を追加 ※一度だけ以下を実施
certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
証明書サービスを再起動
証明書発行
certreq -submit -attrib "CertificateTemplate:webserver" -attrib "san:dns=*.test.local"
コメント