自己署名 SSL 証明書作成時に適切な X.509 拡張を指定する #95
Description
Python 3.13 / TLS1.3 でも SSL 接続できるように証明書を生成するようにしておく。
具体的には create-cert.sh スクリプトで自己署名 SSL 証明書を作成するときに、CA証明書およびSSL証明書に basicConstraints と最低限必要な keyUsage を指定するようにする。
- CA証明書には以下の X.509 拡張を指定する
subjectKeyIdentifier = hash
basicConstraints = critical, CA:true
keyUsage = critical, cRLSign, keyCertSign
- SSL証明書には以下の X.509 拡張を指定する
authorityKeyIdentifier = keyid
subjectKeyIdentifier = hash
basicConstraints = critical, CA:false
keyUsage = critical, digitalSignature
extendedKeyUsage = serverAuth, clientAuth
subjectAltName = ${CERT_SAN_ALTNAMES}
※ CERT_SAN_ALTNAMES はデフォルトでは DNS:$(hostname) を与える
Metadata
Metadata
Assignees
Labels
No labels