2015年11月18日
Tweet
以前書いていた記事ですが、あまり参考にならなかったので改めて。
Apache + OpenSSL CSR生成手順 (更新)
ApacheでSSL (その勘所)
このままですが・・。
■秘密鍵の作成
シマンテックサイトでは以下の通り記載されています。
# openssl genrsa -des3 -out private.key 2048
がとらぼサイトでは以下のとおり。
# openssl genrsa -out private.key -aes128 2048
aes128 の方が安全性が高いようです。
なお、上記の方法では以下のようにファイルが作成されます。
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,AB6D03E79F36CC0A
AESの場合は以下の通り
Proc-Type: 4,ENCRYPTED
DEK-Info: AES-128-CBC,9E7941BE4DF4A16A00F7099FC1CDF32F
ちゃんとそれぞれ、DES3、AES128が選択されています。
■CSRの作成
シマンテックサイトでは以下の通り記載されています。
# openssl req -new -key private.key -out server.csr
がとらぼサイトでは以下のとおり。
# openssl req -new -sha256 -key private.key -out server.csr
ここでも sha256 が選択されています。
SHA1よりもSHA2の方が安全性が高いですし、そもそも、SHA1は廃止の方向で動いています。
chrome などでは、今年から警告が表示されるようです。
あとは中間証明書などにおいて注意が必要です。
symantec など各SSL証明機関は、チェックツールを提供しているので、これで確認をします。
Symantec CryptoReport
Apache + OpenSSL CSR生成手順 (更新)
ApacheでSSL (その勘所)
このままですが・・。
■秘密鍵の作成
シマンテックサイトでは以下の通り記載されています。
# openssl genrsa -des3 -out private.key 2048
がとらぼサイトでは以下のとおり。
# openssl genrsa -out private.key -aes128 2048
aes128 の方が安全性が高いようです。
なお、上記の方法では以下のようにファイルが作成されます。
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,AB6D03E79F36CC0A
AESの場合は以下の通り
Proc-Type: 4,ENCRYPTED
DEK-Info: AES-128-CBC,9E7941BE4DF4A16A00F7099FC1CDF32F
ちゃんとそれぞれ、DES3、AES128が選択されています。
■CSRの作成
シマンテックサイトでは以下の通り記載されています。
# openssl req -new -key private.key -out server.csr
がとらぼサイトでは以下のとおり。
# openssl req -new -sha256 -key private.key -out server.csr
ここでも sha256 が選択されています。
SHA1よりもSHA2の方が安全性が高いですし、そもそも、SHA1は廃止の方向で動いています。
chrome などでは、今年から警告が表示されるようです。
あとは中間証明書などにおいて注意が必要です。
symantec など各SSL証明機関は、チェックツールを提供しているので、これで確認をします。
Symantec CryptoReport