SHA-2証明書の作成方法・サーバ証明書がSHA-2証明書になっているかの確認方法

スポンサーリンク

Windows では 2017年1月1日以降、SHA1証明書サイトへのSSL通信が接続拒否されます。

SHA-1証明書の受付終了とSHA-2証明書への移行について -サイバートラスト株式会社-

そこで、SHA-2証明書の作成方法と、サーバ証明書がSHA-2証明書になっているかの確認方法を説明します。

SHA-2証明書の作成方法

SHA-2証明書の作成方法です。
ここでは、256bitのハッシュ長のSHA-2証明書の作成方法を例にします。

証明書の作成は以下を基にします。

CentOS6 / Ubuntu14.04 でのサーバ証明書の作成方法 パソコン鳥のブログ

上記の記事中で、[自己署名したサーバ証明書(server.crt)の作成]の「自己署名したサーバ証明書(server.crt)を作成します。」の箇所で、下記のように -sha256 を付ければ OK です。

openssl x509 -in server.csr -out server.crt -req -signkey server.key -days 365 -sha256

SHA-2証明書を作成するには、その他、-sha256 の代わりに -sha224 , -sha384 、-sha512 もあります。
それぞれのハッシュ長で作成されます。

確認方法

サーバ証明書が SHA-2証明書になっているかの確認方法です。
SHA-2証明書を設定したサーバにブラウザでアクセスして確認します。
以降の手順で確認します。

SHA-2証明書になっていない場合は、先の手順で SHA-2証明書を作成します。

また、作成した証明書を実際にサーバに設定する前に確認できます。
その場合は、下記記事で説明している opensslコマンドを実行しておき、ブラウザで https://test.example:4433 のようにして 4433番ポートでアクセスして下さい。

証明書をサーバに設定する前にチェックする パソコン鳥のブログ

2016.11.10 追記
ブラウザでの最新の確認方法は、下記記事の方を見て下さい。
WEBページの証明書がSHA-2証明書になっているかの確認方法 パソコン鳥のブログ

Internet Explorerの場合

ブラウザのURLバーの鍵マークをクリックします。
現れた画面で「詳細の表示」をクリックします。
「証明書」ダイアログが現れるので、「詳細」タブを選択し、”署名アルゴリズム”または”署名ハッシュアルゴリズム欄”の箇所に記載されています。

画像

この箇所に表示される内容が「sha1RSA」のように sha1 が含まれていれば、SHA-1証明書です。
「sha256RSA」や「sha512RSA」のようになっていれば、SHA-2証明書です。

Firefoxの場合

ブラウザのURLバーの鍵マークをクリックします。
現れた画面で「詳細を表示…」ボタンをクリックします。
次に現れた画面で「証明書を表示…」ボタンをクリックします。
証明書ビューアのダイアログが現れるので、「詳細」タブを選択し、「証明書のフィールド」の箇所で「Certificate Signature Algorithm」を選択します。
「フィールドの値」の箇所に記載されています。

画像

この箇所に表示される内容が「PKCS #1 SHA-1 With RSA Encryption」のように SHA-1 が含まれていれば、SHA-1証明書です。
「PKCS #1 SHA-256 With RSA Encryption」や「PKCS #1 SHA-512 With RSA Encryption」のようになっていれば、SHA-2証明書です。

以上、SHA-2証明書の作成方法と確認方法でした。

参考

6-6(1)CAの構築 : 基礎から学ぶ無線LANの設定と設計

OpenSSL による CSRの作成について | サイフにやさしいSSL証明書

SHA-2電子証明書への移行について | SSL・電子証明書ならGMOグローバルサイン

openssl(1): OpenSSL tool – Linux man page

SHA-2 – Wikipedia

コメント

タイトルとURLをコピーしました