[手順] SSL 証明書の署名リクエストの署名アルゴリズムを SHA-1 から SHA-2 に変更するには

Created:

2016-11-16 12:43:09 UTC

Modified:

2017-08-16 15:42:47 UTC

3

Was this article helpful?


Have more questions?

リクエストを送信

[手順] SSL 証明書の署名リクエストの署名アルゴリズムを SHA-1 から SHA-2 に変更するには

Applicable to:

  • Plesk for Windows
  • Plesk for Linux

質問

証明書署名リクエストで SHA-1 から SHA-2 に変更するにはどうすればよいですか?これは PayPal の脆弱性アラートへの対処の一環として必要です。

https://devblog.paypal.com/paypal-ssl-certificate-changes/

https://www.paypal-knowledge.com/infocenter/index?page=content&widgetview=true&id=FAQ1766&viewlocale=en_US

あるいは、Plesk CSR によって CA に対する証明書の注文を試みると、以下のエラーが表示されるためです。

[CODE: 2038] [MESSAGE: After 12/31/2016, most browsers will not trust certificates that use SHA1. Use SHA2 instead.]
Cannot parse CSR.

回答

Plesk 12.0 以前の場合:

/usr/local/psa/admin/conf/openssl.cnf ファイル(Linux)または %plesk_dir%\\admin\\conf\\openssl.cnf ファイル(Windows)を編集して default_md = sha256 という行を [req] セクションに追加します。したがって、 [req] セクションは次のようになります。

[ req ]

attributes=req_attributes
distinguished_name=req_distinguished_name
default_md = sha256

SHA-256 に対応しているブラウザ、モバイルデバイス、サーバのリストは、 SHA-256 の互換性に関する記事 を参照してください。

デフォルトの OpenSSL は CSR 証明書リクエストで SHA1 を使用します。

Plesk 12.5 の場合:

Plesk 12.5 で SHA-2 を有効化する方法は、以下の記事を参照してください。

213924305 [How to] Allow to use SHA256 (SHA-2) signature algorithm in SSL certificate request?

ウェブサイトで SHA1 SHA2 のどちらを使用しているか確認するには、以下のコマンドを使用します。

echo | openssl s_client -connect example.com:443 -servername example.com | openssl x509 -text | grep 'Signature Algorithm'

SHA1 の場合の出力:

Signature Algorithm: sha1WithRSAEncryption

SHA2 の場合の出力:

Signature Algorithm: sha256WithRSAEncryption
他にご質問がございましたら、リクエストを送信してください
ログインしてコメントを残してください。