getsslでECDSAな証明書

メモです。

Let's Encrypt の証明書を取得するために、シェルで書かれたgetsslを使っています。certbotはPlamo Linux環境でパッケージを作るのが面倒だったので…

getsslでは標準だとRSA 4096bitの鍵長で証明書を作成します（たぶん・執筆時点）。それをECDSAで証明書を取得してみました。

ドメインごとのgetssl.cfgでも、共通のgetssl.cfgでも良いので、次の変数をtrueにするとRSAとECDSA両方の証明書を取得してくれます（ECDSAのみはないのかな?）。

DUAL_RSA_ECDSA="true"

このとき使う楕円曲線暗号はPRIVATE_KEY_ALGで指定したものが使われます。ここに指定できるアルゴリズムはrsa、prime256v1、secp384r1、secp521r1がサポートされているようです（執筆時点）。

PRIVATE_KEY_ALG="prime256v1"

これで例えば

• 秘密鍵: example.com.ec.key
• 証明書: example.com.ec.crt、example.com_fullchain.ec.crt
  みたいに.ecという文字列が付与されたファイル名でファイルが作成されます。

これをサーバーで設定すれば OK です。