SSLの設定時にCSRの鍵長に関する警告メッセージが表示された場合
SSLの設定では、「ダウンロード」公開ページに用意してある SSL-Key をダウンロードし、解凍してください。
(※2018年12月現在、新しい openssl.exe を組み込んだ SSL-Key-SHA2a.zipもしくはSSL-Key-SHA2.zipを用意してあります。)
このとき、解凍された"CERTIFICATE.BAT"を使って、"myreq.pem"を作成、認証局のCSR情報を"myreq.pem"の内容をコピーして入力すると、認証局によっては「CSRの鍵長は2048bit(または1024bit)以上でなければならない」旨の警告メッセージが表示されることがあります。そのような場合は、以下の手順でバッチファイルの"CERTIFICATE.BAT"と、設定ファイルの"openssl.cnf"を書き換えてください。
これは、"SSL-Key.zip"に含まれるバッチファイルおよび設定ファイルの状態では、CSRの鍵長が512bitで作成されるようになっているためです。下記の通り、2つのファイルのそれぞれ1個所ずつを修正し、CSRの鍵長を2048bit(または1024bit)に変更して対応します。
(※SSL-Key-SHA2a.zipもしくはSSL-Key-SHA2.zip の方ではCSRの鍵長を最初から2048bitに設定しています。)
- CERTIFICATE.BAT の書き換え
メモ帳かテキストエディタで、2行目の"rsa:512"を"rsa:2048"(または"rsa:1024")に変更します。
【CERTIFICATE.BAT】
openssl req -config openssl.cnf -new -nodes -keyout cakey.pem -x509 -out cacert.pem
openssl req -config openssl.cnf -new -nodes -newkey rsa:512 -keyout mykey.pem -out myreq.pem
openssl ca -config openssl.cnf -in myreq.pem -keyfile cakey.pem -cert cacert.pem -out mycert.pem
- openssl.cnf の書き換え
マイコンピュータやエクスプローラからの表示上は、"openssl"になっており、拡張子は見えませんが、実際は拡張子.cnfが含まれます。
この設定ファイルにも、デフォルトで512bitになっている部分が88行目にありますので、同様にメモ帳かテキストエディタで、2048bit(または1024bit)の設定に変更します。
旧 default_bits = 512
新 default_bits = 2048(または1024)
【openssl.cnf】 (※表示上はopenssl)
[ req ]
default_bits = 512
default_keyfile = privkey.pem
distinguished_name = req_distinguished_name
attributes = req_attributes
x509_extensions = v3_ca # The extentions to add to the self signed cert
これらの作業後、鍵を作成し直し、作成されたCSRを提示してください。