💨

getsslでECDSAな証明書

に公開
TLS
pki
tech

メモです。

Let's Encrypt の証明書を取得するために、シェルで書かれたgetsslを使っています。certbotはPlamo Linux環境でパッケージを作るのが面倒だったので…

getsslでは標準だとRSA 4096bitの鍵長で証明書を作成します(たぶん・執筆時点)。それをECDSAで証明書を取得してみました。

ドメインごとのgetssl.cfgでも、共通のgetssl.cfgでも良いので、次の変数をtrueにするとRSAとECDSA両方の証明書を取得してくれます(ECDSAのみはないのかな?)。

DUAL_RSA_ECDSA="true"

このとき使う楕円曲線暗号はPRIVATE_KEY_ALGで指定したものが使われます。ここに指定できるアルゴリズムはrsaprime256v1secp384r1secp521r1がサポートされているようです(執筆時点)。

PRIVATE_KEY_ALG="prime256v1"

これで例えば

  • 秘密鍵: example.com.ec.key
  • 証明書: example.com.ec.crtexample.com_fullchain.ec.crt
    みたいに.ecという文字列が付与されたファイル名でファイルが作成されます。

これをサーバーで設定すれば OK です。

Discussion