web-dev-qa-db-ja.com

自己署名EV SSL証明書を生成する方法は?

ラップトップでXAMPP/Windowsを構成して、次のURLを設定しました。

https://www.supersite.com/

xAMPP/localhostを指すのではなく、他の場所を探します。

私は基本的に自己署名証明書を生成し、それをWindowsにインポートして、Windows hostsファイルを変更しました。

Chromeでは問題なく動作しますが、これは「通常の」SSL証明書にすぎません。自己署名EV証明書を生成したいと思います(見栄えがよく/より見栄えがいいです。これを顧客にすぐに提示する必要があります)

これは可能ですか?もしそうなら、どうですか?

6
TheDude

私は英語が下手なので最初にお詫び申し上げます。私の説明の一部はXDを少し混乱させるかもしれません

EVは拡張検証を意味し、信頼できるCAによって検証される必要があります。

ただし、自己署名証明書について話しているので、ブラウザのUIで緑色のアドレスバーをアクティブにしたいだけだと思います。

EdgeとInternet Explorerで緑色のアドレスバーをアクティブ化できるEV証明書に自己署名することは可能ですが、FireFoxやChromeでは不可能です。

https://stackoverflow.com/a/36780644/10151783 が言うように、EV証明書にはいくつかの要件があります:

  1. 証明書にEVポリシーであることがわかっているポリシーIDがあること。
  2. 証明書のルートの拇印が固定されたポリシー識別子と一致します。
  3. 証明書はオンライン失効チェックに合格する必要があります。
  4. 証明書のnotBefore(発行日)が2015年1月1日より後の場合、証明書は証明書の透明性をサポートしている必要があります。
  5. 証明書は、信頼されたルートによって発行される必要があります。
  6. 複数の信頼パスがある場合、すべてのチェーンが有効であること。

これらの要件を、リーフ証明書、中間証明書、ルート証明書、およびPKIインフラストラクチャの要件に分けて説明します。

  • PKIインフラストラクチャの要件
    1. ブラウザーが失効ステータスを確認するために、OCSPまたはCRLレスポンダーのいずれかを使用できます。
    2. 自己定義OID(任意のOIDにすることができ、ランダムに生成されたものでも問題ありませんが、このEV-OIDを覚えておく必要があります)
  • ルート証明書の要件
    1. 基本的な制約の拡張はCAである必要があります
  • 中間証明書の要件
    1. 基本的な制約の拡張はCAである必要があります
    2. ブラウザーが失効ステータスをチェックするために、OCSPまたはCRL URLのいずれかが拡張機能に設定されています。
    3. 拡張キー使用法拡張にはServerAuthが含まれている必要があります
  • リーフ証明書の要件
    1. 基本的な制約の拡張はエンドエンティティでなければなりません
    2. ブラウザーが失効ステータスをチェックするために、OCSPまたはCRL URLのいずれかが拡張機能に設定されています。
    3. 拡張キー使用法拡張にはServerAuthが含まれている必要があります
    4. 証明書ポリシー拡張には、OID 2.23.140.1.1および自己定義のEV-OIDが必要です
    5. サブジェクト識別名(X509Name)には、CN、O、L、ST、C、SerialNumber、jurisdictionStateOrProvinceName、jurisdictionCountryNameが含まれている必要があります
    6. ワイルドカード証明書であってはなりません
    7. SubjectAltNames拡張を含み、この拡張にドメイン名(FQDN)を埋め込む必要があります。

最後に、ルート証明書を信頼されたルートに追加し、EV-OIDを設定します。

Windowsでは、certlm.msc(またはcertmgr.msc)を実行し、ローカル---信頼されたルートを参照して、ルート証明書をインポートします。次に、証明書をダブルクリックして表示し、[詳細]タブを選択して、[プロパティの編集]を押します。 [拡張検証]タブを選択し、そこにEV-OIDを追加します。

これらの操作の後、EdgeまたはIE=を使用してWebサイトを閲覧すると、緑色のアドレスバーが表示されます。

この方法で、いくつかの「EV」証明書に自己署名しました。 Regファイルをインポートしてルート証明書を信頼し(以下に貼り付けます)、IEまたはEdgeにアクセスする )を使用できますhttps://pki.jemmylovejenny .tk を使ってEV緑のアドレスバーを表示します enter image description here 注:EV-OIDをRegファイルに埋め込んだので、自分でカスタムEV-OIDを設定する必要はありません。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates\E403A1DFC8F377E0F4AA43A83EE9EA079A1F55F2]
"Blob"=hex:09,00,00,00,01,00,00,00,ca,00,00,00,30,81,c7,06,0a,2b,06,01,04,01,\
  82,37,40,01,01,06,0a,2b,06,01,04,01,82,37,0a,03,2a,06,05,67,81,05,08,03,06,\
  05,67,81,05,08,02,06,05,67,81,05,08,01,06,08,2b,06,01,05,05,07,03,09,06,08,\
  2b,06,01,05,05,08,02,02,06,0a,2b,06,01,04,01,82,37,0a,03,0c,06,0a,2b,06,01,\
  04,01,82,37,0a,03,0a,06,0a,2b,06,01,04,01,82,37,0a,05,01,06,0a,2b,06,01,04,\
  01,82,37,14,02,02,06,0a,2b,06,01,04,01,82,37,0a,06,02,06,0a,2b,06,01,04,01,\
  82,37,0a,06,01,06,0a,2b,06,01,04,01,82,37,0a,03,04,06,08,2b,06,01,05,05,07,\
  03,08,06,08,2b,06,01,05,05,07,03,04,06,08,2b,06,01,05,05,07,03,03,06,08,2b,\
  06,01,05,05,07,03,02,06,08,2b,06,01,05,05,07,03,01,5c,00,00,00,01,00,00,00,\
  04,00,00,00,00,10,00,00,03,00,00,00,01,00,00,00,14,00,00,00,e4,03,a1,df,c8,\
  f3,77,e0,f4,aa,43,a8,3e,e9,ea,07,9a,1f,55,f2,19,00,00,00,01,00,00,00,10,00,\
  00,00,79,d8,e3,98,56,b0,54,09,13,de,fb,48,5e,73,ed,62,14,00,00,00,01,00,00,\
  00,14,00,00,00,05,25,86,2f,65,36,a1,e5,9d,9e,ca,5c,09,19,ad,0e,3d,96,26,1d,\
  0f,00,00,00,01,00,00,00,14,00,00,00,52,bf,46,22,03,12,1a,b2,71,f4,8f,f1,a3,\
  2d,37,3f,d9,f1,23,99,04,00,00,00,01,00,00,00,10,00,00,00,dc,91,1e,8d,a3,a1,\
  86,bb,4d,52,ee,c0,e5,7b,51,55,53,00,00,00,01,00,00,00,23,00,00,00,30,21,30,\
  1f,06,09,60,86,48,01,a4,a2,27,02,01,30,12,30,10,06,0a,2b,06,01,04,01,82,37,\
  3c,01,01,03,02,00,c0,20,00,00,00,01,00,00,00,d3,05,00,00,30,82,05,cf,30,82,\
  03,b7,a0,03,02,01,02,02,04,1e,b1,32,d5,30,0d,06,09,2a,86,48,86,f7,0d,01,01,\
  05,05,00,30,76,31,0b,30,09,06,03,55,04,06,13,02,43,4e,31,23,30,21,06,03,55,\
  04,0a,0c,1a,4a,65,6d,6d,79,4c,6f,76,65,4a,65,6e,6e,79,20,50,4b,49,20,53,65,\
  72,76,69,63,65,31,1e,30,1c,06,03,55,04,0b,0c,15,70,6b,69,2e,6a,65,6d,6d,79,\
  6c,6f,76,65,6a,65,6e,6e,79,2e,74,6b,31,22,30,20,06,03,55,04,03,0c,19,4a,65,\
  6d,6d,79,4c,6f,76,65,4a,65,6e,6e,79,20,45,56,20,52,6f,6f,74,20,43,41,30,20,\
  17,0d,30,30,30,31,30,31,30,30,30,30,30,30,5a,18,0f,32,30,39,39,31,32,33,31,\
  32,33,35,39,35,39,5a,30,76,31,0b,30,09,06,03,55,04,06,13,02,43,4e,31,23,30,\
  21,06,03,55,04,0a,0c,1a,4a,65,6d,6d,79,4c,6f,76,65,4a,65,6e,6e,79,20,50,4b,\
  49,20,53,65,72,76,69,63,65,31,1e,30,1c,06,03,55,04,0b,0c,15,70,6b,69,2e,6a,\
  65,6d,6d,79,6c,6f,76,65,6a,65,6e,6e,79,2e,74,6b,31,22,30,20,06,03,55,04,03,\
  0c,19,4a,65,6d,6d,79,4c,6f,76,65,4a,65,6e,6e,79,20,45,56,20,52,6f,6f,74,20,\
  43,41,30,82,02,22,30,0d,06,09,2a,86,48,86,f7,0d,01,01,01,05,00,03,82,02,0f,\
  00,30,82,02,0a,02,82,02,01,00,b5,bf,16,4c,e2,67,33,2d,80,ff,ed,87,e9,49,04,\
  1e,a0,b8,dd,6e,43,89,cc,2e,ce,1e,26,06,c7,dc,40,85,d7,56,31,f5,bf,99,e3,b6,\
  0a,4d,be,48,dc,73,37,e8,ed,c9,5d,d0,2a,ca,56,8a,11,9c,28,84,dd,8c,ec,d0,c1,\
  74,58,5e,1b,6e,c8,9e,47,f3,7f,28,62,6b,b4,2a,bb,0f,7c,b0,ee,0f,25,d1,1e,26,\
  80,26,93,7b,fc,45,87,de,5d,7c,d8,9d,9c,d3,fe,e6,34,12,07,24,a3,77,1d,3d,ec,\
  3b,a2,65,39,8f,84,27,4b,c7,2d,68,3b,e7,98,27,06,d9,9e,24,f4,ff,e8,43,70,fb,\
  7b,0c,8d,56,44,9c,1b,db,2d,53,ca,85,a5,5e,a1,2b,4c,b6,5a,a6,91,fb,bc,eb,57,\
  c3,cb,92,4d,ed,73,2c,25,2a,96,80,69,03,0d,bd,3a,2b,f0,c8,fa,02,7b,7a,b6,af,\
  c3,25,b4,39,d4,ed,c7,ba,d1,d3,e5,7d,fa,24,47,05,d3,6b,ae,51,6d,aa,94,37,8e,\
  a3,a8,7e,54,aa,d2,1d,eb,54,7b,1b,c6,59,ca,61,1b,05,da,6f,47,3f,6d,ed,fc,76,\
  16,bb,9a,86,83,8c,b2,b1,be,86,ff,21,69,d4,bc,c9,07,85,27,fa,4e,57,9a,cf,c1,\
  d6,49,33,97,51,c2,e6,52,14,32,cf,6b,5f,26,66,6f,2c,73,2e,c5,67,a2,f5,c8,9f,\
  62,a3,4b,4a,73,35,22,38,b0,2d,98,1e,af,90,5c,6a,66,eb,e5,70,b2,0d,6a,e5,7d,\
  97,84,20,f3,4a,b6,79,26,8d,89,10,21,70,31,fa,6c,69,83,1f,48,5e,ab,30,c4,45,\
  78,92,42,97,7e,2c,9d,2d,f3,f0,f1,aa,4e,c0,ca,e5,61,24,18,ff,df,01,27,b7,d5,\
  80,9e,7a,18,03,12,1d,5b,0f,f8,25,37,ab,11,2a,49,d7,94,6a,51,ec,8c,46,91,33,\
  2d,5f,fa,41,54,71,f2,d9,5e,10,44,00,77,6c,21,25,0a,e0,0d,58,7b,23,3b,22,a5,\
  96,db,16,9e,05,83,c0,02,7c,59,81,45,44,96,3e,66,a5,eb,29,3e,a1,15,23,e3,38,\
  d9,24,24,4b,d3,6b,6d,27,22,7e,ec,f8,48,c3,ae,f3,9b,75,61,23,59,5c,64,6d,36,\
  d6,cd,f5,70,b7,2f,e9,fb,ef,77,9e,0a,fa,1d,b7,cf,4c,c8,19,64,b3,66,44,1f,80,\
  32,33,7a,32,8f,3c,98,89,97,d0,a2,7d,2d,8d,ce,89,1c,22,1a,51,4a,b3,02,03,01,\
  00,01,a3,63,30,61,30,0e,06,03,55,1d,0f,01,01,ff,04,04,03,02,01,86,30,0f,06,\
  03,55,1d,13,01,01,ff,04,05,30,03,01,01,ff,30,1d,06,03,55,1d,0e,04,16,04,14,\
  05,25,86,2f,65,36,a1,e5,9d,9e,ca,5c,09,19,ad,0e,3d,96,26,1d,30,1f,06,03,55,\
  1d,23,04,18,30,16,80,14,05,25,86,2f,65,36,a1,e5,9d,9e,ca,5c,09,19,ad,0e,3d,\
  96,26,1d,30,0d,06,09,2a,86,48,86,f7,0d,01,01,05,05,00,03,82,02,01,00,ad,21,\
  ca,af,24,b3,bf,a5,ae,38,07,83,45,3b,61,41,9a,46,25,b1,ad,f9,76,ca,6e,e7,7f,\
  80,20,63,84,2f,d2,ca,48,79,dd,f3,9d,f1,a0,ca,77,9b,b3,13,fb,86,d1,24,16,07,\
  b6,df,5e,86,8a,d9,cd,db,69,e1,9b,af,31,07,c2,2c,f9,51,56,9d,c8,d5,f8,9d,b4,\
  b4,ab,7b,85,9b,61,48,2b,10,df,9b,fc,ce,81,c4,f1,b8,6c,77,d4,0a,5e,e2,80,5a,\
  46,0d,d0,d6,ea,16,5f,86,e6,70,85,09,7d,15,90,90,41,6b,07,de,58,ec,e9,77,64,\
  bd,1a,b9,d3,c1,97,d1,e5,2a,a1,32,18,2f,68,fe,19,62,f1,94,b2,2e,1a,5a,9d,4d,\
  25,c4,6c,9e,97,a8,a6,fd,e4,ec,57,29,6b,4a,50,9e,b6,dc,c8,be,7b,25,ff,10,4e,\
  f9,89,2d,41,3c,93,66,23,51,b7,f3,ba,b4,72,5a,aa,dd,18,ad,f6,5e,fb,a7,42,24,\
  db,d1,dd,71,83,56,d6,8e,20,50,46,d6,48,ac,74,e1,1d,3b,e7,49,4d,0d,ba,37,c5,\
  1a,46,7a,f5,7c,72,1a,25,96,8a,b1,e6,a4,84,16,00,9c,fb,2a,c1,c0,63,24,5d,93,\
  ec,24,59,ac,26,27,78,e9,07,e4,b9,aa,5b,f6,66,db,80,83,44,c8,38,57,d6,32,ae,\
  46,fe,2d,ab,a8,3d,14,97,a1,55,bb,9d,a7,67,ca,7f,e5,67,b2,18,df,fd,a7,aa,61,\
  05,55,01,b2,f5,15,cd,0f,d8,b8,30,a6,7c,82,b7,65,f5,2c,f8,0f,07,7e,a1,77,48,\
  03,95,a2,9c,8d,be,9c,d5,72,71,52,57,a7,ce,f5,8a,d6,32,18,e0,5d,16,f0,09,6b,\
  d4,96,e1,2d,17,bf,77,90,b9,dd,b6,31,8f,b9,1a,2a,3f,33,95,dd,55,e4,ba,73,9c,\
  2c,8d,15,44,2f,bc,8d,e4,1b,ad,e1,32,d1,a2,3f,b5,a2,84,4e,6b,08,06,22,08,f9,\
  19,1e,1f,3c,a0,a5,50,4e,07,cf,4b,3f,2b,aa,68,3b,dc,0d,c1,0a,8a,66,31,b3,d4,\
  64,81,64,17,98,a4,a3,7b,35,ad,a8,00,10,4d,8b,c7,0c,0f,c3,1f,66,15,28,4c,b1,\
  22,95,92,ee,07,21,39,b6,a1,5a,8a,d9,e1,a8,13,5b,b4,fe,7b,42,6d,5e,69,ca,1a,\
  9a,42,0d,7c,e3,61,24,90,d4,d9,42,18,35,a8,9a,05,f1,4e,3c,a3,fd,98,7c,51,cd,\
  62,f2,92,69,45,cf,bf,f3,2c,aa
6
JemmyLoveJenny

独自のEV証明書を生成することはできません。特に、自己署名EV証明書を生成することはできません。一部のCAのみがこれらを生成でき、これらのCAはブラウザーまたはオペレーティングシステムのSSLスタックで明確にマークされています。 EVを自分で作成する場合は、ブラウザーが使用するSSLスタックを変更して、証明書をEVとして受け入れる必要があります。

証明書がEVであるかどうかを判断するプロセスの詳細については、次を参照してください https://stackoverflow.com/questions/14705157/how-to-check-if-a-x509-certificate -has-extended-validation-switched-on

4
Steffen Ullrich

実際にはEV証明書を生成するために認証局を生成できますが、GeckoまたはChromiumのソースに移動してオブジェクトIDを追加する必要があると思います。そして、ええ、それはあなたのそのカスタムメイドのブラウザでのみ機能します


編集:ユーザーが上記の独自のオブジェクトIDをGecko(Firefox)に「パッチ」する方法を提供しました。これを小さなコメントの代わりに回答で共有したいと思います。

firefoxで独自のEVをロールする– user42178 2015年3月29日16:45
リンク: http://blog.sidstamm.com/2009/04/roll-your-own-ev.html