Let’s Encrypt をwin-acmeを使用してSSL証明書を作成する

前提・実現したいこと

接続はAES_128_GCMを使用して暗号化及び認証をしたうえで、
鍵交換メカニズムはECDHE_RSAにしたいのですがやり方がよくわかりません。

windows2012 serverでwin-acmeを使用し証明書を作成できたのですが、
デフォルトの設定スクリプトですとこんな感じの証明書が作成されます。

接続　　　　　　　TLS 1.2
接続の暗号化　　　AES_256_CBC　※　
メッセージ認証　　HMAC-SHA1　※　
鍵交換メカニズム　ECDHE_RSA

※ ここを変えたい
win-acme以外のツールでできるとかでもいいので、
目的の証明書を作成する方法を教えてほしい。

試したこと

\win-acme.v1.9.11.2\scripts内のファイルをみつつ
https://github.com/PKISharp/win-acme/wiki/Example-Scripts
などをながめていたのですが、どこをどう変えればいいかわかりませんでした。

補足情報（FW/ツールのバージョンなど）

OS: windows server 2012
web server: IIS 8.5
TOOL: win-acme.v1.9.11.2, Let's encrypt

行動規範の内容に同意します

回答2件

ベストアンサー

接続はAES_128_GCMを使用して暗号化及び認証をしたうえで、

鍵交換メカニズムはECDHE_RSAにしたいのですがやり方がよくわかりません。

証明書によって規定されるのは、第一義的には鍵交換アルゴリズムです。

ECDHE-RSAを使う証明書の場合、同じ証明書でTLS_ECDHE_RSA_WITH_AES_256_CBC_SHAもTLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256も扱えますので、あとはサーバの設定次第でどちらも利用可能です。

投稿2018/07/14 13:57

maisumakun

総合スコア145183

h.nishi

2018/07/14 14:01

win-acmeでできるということですか。目的の証明書を作成する方法を教えていただけると助かります。

maisumakun

2018/07/14 14:03 編集

「デフォルトの設定スクリプト」で作った証明書を使って、あとはサーバ側の設定の範疇になります（証明書にはAES128/256やHMAC/SHA-1を決めるようなものは書かれていません）。

maisumakun

2018/07/14 14:05

証明書に書かれた「署名アルゴリズム」は、証明書自体の署名方式であって、通信時の署名方式とは無関係です。

h.nishi

2018/07/14 14:09

IISの設定をすればよいということですね、やはり聞いてよかったです。方向性が違っていました。 IIS上での設定方法を調べてみます。ありがとうございました。

行動規範の内容に同意します

IISで証明書を削除　サイトのバインドを削除　この２つを行った後新しく取得することで設定ができました。

投稿2022/08/12 02:09

DUO

総合スコア4

あなたの回答

tips

プレビュー

行動規範の内容に同意します

質問の解決につながる回答をしましょう。サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう！

ただいまの回答率
85.49%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう！