SSL自己証明書(オレオレ証明書)を使う場合、従来、証明書作成時に CN(Common Name)で指定していた内容を、SAN(Subject Alternative Name) に設定する必要があります。
Google Chrome 58以降、CN では無く、SAN の方を参照するようになったためで、これがされていないと、Chrome でアクセス時に ERR_CERT_COMMON_NAME_INVALID エラーとなります。
SAN を含んだ証明書の作成方法です。
基本的なサーバー証明書の作成については、次の記事を参照して下さい。
CentOS6/CentOS7/Ubuntu14.04 でのサーバ証明書の作成方法
まず、以下の書式で記述したファイル(ここではsan.txt)を用意します。
san.txt
subjectAltName=DNS:ホストのFQDN名
あとは、先のサーバー証明書の作成手順に従って作業していきます。
この時、サーバ証明書作成時に、次のように –extfile san.txt オプションを指定すると、SAN が設定された証明書が作成できます。
openssl x509 -in server.csr -out server.crt -req -signkey server.key -days 3650 -sha256 --extfile san.txt
参考
Chrome58で、HTTPSの自己証明書が NET::ERR_CERT_COMMON_NAME_INVALID になる場合の対応
openssl.cnfは編集せずにオレオレ証明書をSAN対応させてchrome58へinstallする – 脳汁portal
コメント