SANを使用してOpenSSL自己署名証明書を作成する方法は？

Question

最新のChrome 60以降では、SANがないと、HTTPSページにERRORがスローされます。 OpenSSLコマンドラインはこれらの拡張子を追加しません。

Answer 1

自分自身を考え出しました。

OpenSSL CLIを使用すると、-subjフラグで認証局（CA）に関する情報を設定できますが、コマンドラインを使用してサブジェクト代替名（SAN）を追加することはできません。だから私は-configを呼び出して、簡単な設定としてロードしたいファイルを呼び出さなければなりませんでした。自己署名証明書を作成するために、これは、なく、生産のために十分なはずです：

# ./config/tiny_openssl.conf  
[CA_default] 
copy_extensions = copy 

[req] 
default_bits = 4096 
prompt = no 
default_md = sha256 
distinguished_name = req_distinguished_name 
x509_extensions = v3_ca 

[req_distinguished_name] 
C = US 
ST = Washington 
L = Seattle 
O = My Company 
OU = IT Department 
emailAddress = it@mycompany.com 
CN = mycompany.com 

[v3_ca] 
basicConstraints = CA:FALSE 
keyUsage = digitalSignature, keyEncipherment 
subjectAltName = @alternate_names 

[alternate_names] 
DNS.1 = localhost 
DNS.2 = *.localhost 
DNS.3 = app.localhost 
# ... 

[alternate_names]値が生成された証明書でSSLの下で提供（またはサイト）サイトのURLと一致している必要があります。 localhostやapp.localhostのようなものが動作します。次に、この設定を使用してOpenSSLを起動します。

信頼されたルート証明機関としてWindows 10でこの.crtファイルを追加しました

$ openssl req -x509 -newkey rsa:4096 -sha256 -utf8 -days 365 -nodes \ 
    -config ./config/tiny_openssl.conf \ 
    -keyout ./certificates/private.key \ 
    -out ./certificates/ssl/certificate.crt 

は、ChromeとWebサーバー、出来上がりを再起動します。

HTTPトランザクションのパフォーマンスが心配されている場合は、rsaを2048ビットに変更できます。

---

これは、サーバーとブラウザ間の内部テストにのみ有効です。 100％有効なSSL証明書を使用するより完全で信頼性の高いソリューションが必要な場合は、CA、CRSを作成し、有効な自己署名証明書を発行するCAでCRSに署名してください。

https://stackoverflow.com/a/21494483/647490