Chrome で ERR_CERT_COMMON_NAME_INVALID にならないオレオレ証明書

スポンサーリンク
スポンサーリンク

SSL自己証明書(オレオレ証明書)を使う場合、従来、証明書作成時に CN(Common Name)で指定していた内容を、SAN(Subject Alternative Name) に設定する必要があります。
Google Chrome 58以降、CN では無く、SAN の方を参照するようになったためで、これがされていないと、Chrome でアクセス時に ERR_CERT_COMMON_NAME_INVALID エラーとなります。

画像

SAN を含んだ証明書の作成方法です。

基本的なサーバー証明書の作成については、次の記事を参照して下さい。
CentOS6/CentOS7/Ubuntu14.04 でのサーバ証明書の作成方法

まず、以下の書式で記述したファイル(ここではsan.txt)を用意します。

san.txt

subjectAltName=DNS:ホストのFQDN名

あとは、先のサーバー証明書の作成手順に従って作業していきます。

この時、サーバ証明書作成時に、次のように –extfile san.txt オプションを指定すると、SAN が設定された証明書が作成できます。

openssl x509 -in server.csr -out server.crt -req -signkey server.key -days 3650 -sha256 --extfile san.txt

参考

Chrome58で、HTTPSの自己証明書が NET::ERR_CERT_COMMON_NAME_INVALID になる場合の対応
openssl.cnfは編集せずにオレオレ証明書をSAN対応させてchrome58へinstallする – 脳汁portal

コメント

タイトルとURLをコピーしました