2015年11月18日
このエントリーをはてなブックマークに追加
以前書いていた記事ですが、あまり参考にならなかったので改めて。
Apache + OpenSSL CSR生成手順 (更新)
ApacheでSSL (その勘所)
このままですが・・。

■秘密鍵の作成
シマンテックサイトでは以下の通り記載されています。
# openssl genrsa -des3 -out private.key 2048

がとらぼサイトでは以下のとおり。
# openssl genrsa -out private.key -aes128 2048

aes128 の方が安全性が高いようです。

なお、上記の方法では以下のようにファイルが作成されます。
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,AB6D03E79F36CC0A

AESの場合は以下の通り
Proc-Type: 4,ENCRYPTED
DEK-Info: AES-128-CBC,9E7941BE4DF4A16A00F7099FC1CDF32F

ちゃんとそれぞれ、DES3、AES128が選択されています。

■CSRの作成
シマンテックサイトでは以下の通り記載されています。
# openssl req -new -key private.key -out server.csr

がとらぼサイトでは以下のとおり。
# openssl req -new -sha256 -key private.key -out server.csr

ここでも sha256 が選択されています。
SHA1よりもSHA2の方が安全性が高いですし、そもそも、SHA1は廃止の方向で動いています。
chrome などでは、今年から警告が表示されるようです。


あとは中間証明書などにおいて注意が必要です。

symantec など各SSL証明機関は、チェックツールを提供しているので、これで確認をします。
Symantec CryptoReport


stock_value at 13:40│Comments(0)TrackBack(0)技術:2015年 

トラックバックURL

この記事にコメントする

名前:
URL:
  情報を記憶: 評価: 顔