Exploratory Collaboration ServerにIPアドレスでHTTPS(SSL) 接続する場合、証明書のサブジェクト代替名 (subjectAltName; SAN) にIPアドレスを追加することで、証明書の検証が成功するようになります。
以下のような内容のtextファイルを準備します。IP.1にサンプルのIPアドレスが入っていますが、こちらをご利用のIPアドレスに変更してください。IP.2には 127.0.0.1を同じサーバー内から接続確認用に足してあります。
[SAN]
subjectAltName=@alt_names
basicConstraints=CA:FALSE
[alt_names]
DNS.1=localhost
IP.1=10.0.1.2
IP.2=127.0.0.1localhost.pemというファイル名の秘密鍵を作成します。
openssl genrsa -out localhost.pem先ほど作成した秘密鍵を使用してlocalhost.csrという証明書署名要求(csr)を作成します。 この際にDNやパスコードは最終的には利用されないので、任意の値を設定します。
openssl req -new -key localhost.pem -out localhost.csrターミナルから以下のコマンドで 秘密鍵(localhost.pem)、証明書署名要求(localhost.csr)、-extension SANオプション、そして–extfile san.txt オプションを利用してSSL証明書(localhost.crt)を作成します。
openssl x509 -req -days 365 -in localhost.csr -signkey localhost.pem -out localhost.crt -extensions SAN -extfile san.txtターミナルから以下のコマンドを実行します。
openssl x509 -in localhost.crt -text -noout出力結果に以下が含まれているのを確認してください。
X509v3 extensions:
X509v3 Subject Alternative Name:
DNS:localhost, IP Address:10.0.1.2, IP Address:127.0.0.1
X509v3 Basic Constraints:
CA:FALSECollaboration ServerにHTTPS(SSL接続)を設定する方法ではSSL証明書がfullchain.pemファイルであることを前提として説明が進むので、ここでSSL証明書をlocalhost.cttファイルからfullchain.pemファイルへ変換します。ターミナルで以下のコマンドを実行します。
openssl x509 -in localhost.crt -out localhost.der -outform DER
openssl x509 -in localhost.der -inform DER -out fullchain.pem -outform pem