Windows では 2017年1月1日以降、SHA1証明書サイトへのSSL通信が接続拒否されます。
SHA-1証明書の受付終了とSHA-2証明書への移行について -サイバートラスト株式会社-
そこで、SHA-2証明書の作成方法と、サーバ証明書がSHA-2証明書になっているかの確認方法を説明します。
SHA-2証明書の作成方法
SHA-2証明書の作成方法です。
ここでは、256bitのハッシュ長のSHA-2証明書の作成方法を例にします。
証明書の作成は以下を基にします。
CentOS6 / Ubuntu14.04 でのサーバ証明書の作成方法 パソコン鳥のブログ
上記の記事中で、[自己署名したサーバ証明書(server.crt)の作成]の「自己署名したサーバ証明書(server.crt)を作成します。」の箇所で、下記のように -sha256 を付ければ OK です。
openssl x509 -in server.csr -out server.crt -req -signkey server.key -days 365 -sha256
SHA-2証明書を作成するには、その他、-sha256 の代わりに -sha224 , -sha384 、-sha512 もあります。
それぞれのハッシュ長で作成されます。
確認方法
サーバ証明書が SHA-2証明書になっているかの確認方法です。
SHA-2証明書を設定したサーバにブラウザでアクセスして確認します。
以降の手順で確認します。
SHA-2証明書になっていない場合は、先の手順で SHA-2証明書を作成します。
また、作成した証明書を実際にサーバに設定する前に確認できます。
その場合は、下記記事で説明している opensslコマンドを実行しておき、ブラウザで https://test.example:4433 のようにして 4433番ポートでアクセスして下さい。
証明書をサーバに設定する前にチェックする パソコン鳥のブログ
2016.11.10 追記
ブラウザでの最新の確認方法は、下記記事の方を見て下さい。
WEBページの証明書がSHA-2証明書になっているかの確認方法 パソコン鳥のブログ
Internet Explorerの場合
ブラウザのURLバーの鍵マークをクリックします。
現れた画面で「詳細の表示」をクリックします。
「証明書」ダイアログが現れるので、「詳細」タブを選択し、”署名アルゴリズム”または”署名ハッシュアルゴリズム欄”の箇所に記載されています。
この箇所に表示される内容が「sha1RSA」のように sha1 が含まれていれば、SHA-1証明書です。
「sha256RSA」や「sha512RSA」のようになっていれば、SHA-2証明書です。
Firefoxの場合
ブラウザのURLバーの鍵マークをクリックします。
現れた画面で「詳細を表示…」ボタンをクリックします。
次に現れた画面で「証明書を表示…」ボタンをクリックします。
証明書ビューアのダイアログが現れるので、「詳細」タブを選択し、「証明書のフィールド」の箇所で「Certificate Signature Algorithm」を選択します。
「フィールドの値」の箇所に記載されています。
この箇所に表示される内容が「PKCS #1 SHA-1 With RSA Encryption」のように SHA-1 が含まれていれば、SHA-1証明書です。
「PKCS #1 SHA-256 With RSA Encryption」や「PKCS #1 SHA-512 With RSA Encryption」のようになっていれば、SHA-2証明書です。
以上、SHA-2証明書の作成方法と確認方法でした。
参考
6-6(1)CAの構築 : 基礎から学ぶ無線LANの設定と設計
OpenSSL による CSRの作成について | サイフにやさしいSSL証明書
SHA-2電子証明書への移行について | SSL・電子証明書ならGMOグローバルサイン
コメント