2020年1月27日月曜日

コマンドツールで MAMP を SSL 対応しよう! - macOS Catalina (10.15) 編 -

基本的なところは
の通りです。Safari、Chromeでは確認済み。Firefoxは警告(警告: 潜在的なセキュリティリスクあり)がでますが、これは前から。まぁ自前でオレオレ証明書を作って、自分で承認する確信犯(テスト環境のため)ですから、それを検知してくれるのはいいんですけど、アクセスはできることと、SafariとChromeでは警告はでないので、Firefoxの警告を消す努力はもういいやって感じです。

さて、これまではうまくいっていたのにだめになった理由は次の通りでした。
にあるように、2019年1月1日以降の証明書については、2つのルールが追加されており、これに対応する必要があったのでした。
  1. ExtendedKeyUsage (EKU) extension にて serverAuth に対応すること
  2. サーバー証明書の有効期限は、825日以下にすること
です。これを探すまで超苦労したのでメモしておきます。なおそれ以外としては
  • 証明書は、RSA 2048bit 以上、TLS であること
  • SHA-2(SHA-256)を使うこと(SHA-1は駄目よ)
  • Subject Alternative name extension を設定すること
は従来どおりになります。

mamp-enable-ssl.csh (GitHUB)

において、configファイルで
  1. ExtendedKeyUsage (EKU) extension にて serverAuth に対応すること
  2. サーバー証明書の有効期限は、825日以下にすること
  3. 証明書は、RSA 2048bit 以上、TLS であること
  4. SHA-2(SHA-256)を使うこと(SHA-1は駄目よ)
  5. Subject Alternative name extension を設定すること
に対応しています。

  1. [user_cert] と [v3_req]において、下記を追加
     extendedKeyUsage = serverAuth
  2. [CA_default]において、有効期限を 700日の設定を追加
     default_days = 700
  3. [req] において、
     default_bits = 2048
  4. [CA_default]において、SHA-2 (256)の設定を追加
    default_md = 256
  5. [usr_cert] と [v3_req] において、subjectAltName = @alt_names を追加
    [alt_names] において
    DNS.1 = localhost
    を追加。
DNS.1 = localhost というのは、実際にサイトでつかうDNS名
[alt_names]
DNS.1 = localhost
DNS.2 = *.test

など複数の指定が可能になる。
逆にここでちゃんといれておかないと駄目ってことになります。

上記対応を1つでもしていないと、もれなくChrome君が



といってきます。すべて対応すれば表示されなくなり



のように安全だといってくれますね!
macOS 10.15 になって一番苦労したのはこれかもしれない...

参考



2020年1月27日 @kimipooh




0 件のコメント:

コメントを投稿