💨
getsslでECDSAな証明書
メモです。
Let's Encrypt の証明書を取得するために、シェルで書かれたgetsslを使っています。certbotはPlamo Linux環境でパッケージを作るのが面倒だったので…
getsslでは標準だとRSA 4096bitの鍵長で証明書を作成します(たぶん・執筆時点)。それをECDSAで証明書を取得してみました。
ドメインごとのgetssl.cfg
でも、共通のgetssl.cfg
でも良いので、次の変数をtrue
にするとRSAとECDSA両方の証明書を取得してくれます(ECDSAのみはないのかな?)。
DUAL_RSA_ECDSA="true"
このとき使う楕円曲線暗号はPRIVATE_KEY_ALG
で指定したものが使われます。ここに指定できるアルゴリズムはrsa
、prime256v1
、secp384r1
、secp521r1
がサポートされているようです(執筆時点)。
PRIVATE_KEY_ALG="prime256v1"
これで例えば
- 秘密鍵:
example.com.ec.key
- 証明書:
example.com.ec.crt
、example.com_fullchain.ec.crt
みたいに.ec
という文字列が付与されたファイル名でファイルが作成されます。
これをサーバーで設定すれば OK です。
Discussion