サーバ証明書と中間CA証明書の組み合わせが合っているか確認する

確認方法

前提: 中間証明書のファイル名が cacert.cer 、サーバ証明書のファイル名が server.crt であるものとする。また証明書形式は共に PEM であるものとする。

1
2
3
4
5
6
7
8
9
# サーバ証明書のissuerとissuer_hashを表示
$ openssl x509 -noout -issuer -issuer_hash < server.crt
issuer= /C=BE/O=GlobalSign nv-sa/CN=GlobalSign Extended Validation CA - SHA256 - G3
36d531a1

# 中間CA証明書のsubjectとhashを表示
$ openssl x509 -noout -subject -hash < cacert.cer
subject= /C=BE/O=GlobalSign nv-sa/CN=GlobalSign Extended Validation CA - SHA256 - G3
36d531a1

このように「サーバ証明書のissuerとissuer_hash」と「中間CA証明書のsubjectとhash」のペアが同一であることを予め確認することで誤った中間CA証明書を使ってしまうことを防ぐことができる。

個人が普段使いするSSL証明書(サーバ証明書)はほとんどLets Encryptになり設定作業も自動で済んでしまうのが当たり前になってしまった。

また業務で使う場合でもいまやどこのレンタルサーバもSSL証明書が標準もしくはオプションで提供されている。

そんなわけで中間CA証明書を意識することなんてほとんどないのである。

中間CA証明書なるものを意識するのは自前でWebサーバの運用を行なっていてなおかつ手作業でサーバ証明書のセットアップを行なっている場合くらいであろう。

このエントリーをはてなブックマークに追加