http://support.microsoft.com/kb/2661254 今月の WindowsUpdate を適用すると 1024bit未満の鍵長が無効になり、また2010年以降 NIST により 2048bit が推奨ということもあって 2048bit 自己署名証明書を作ることにした。
http://msdn.microsoft.com/ja-jp/library/ff803369.aspx 基本的にはこのページにある通りで、httpsで使う時には CN= の後ろをサーバー名にする。あるいはワイルドカードを利用し、ドメイン全体でまるっと利用できる自己署名証明書を作成する。
ワイルドカードを利用する例:
makecert -r -pe -a sha1 -n "CN=*.example.com" -ss My -len 2048 -sp "Microsoft Enhanced RSA and AES Cryptographic Provider" -sy 24 testcert.cer
実行完了したら、秘密鍵付きでエクスポートして利用する。
| NetworkSolutions | Triton | Rapid-SSL.jp | onlinessl.jp | |
| 1年 | $599 | 57000円 | 23000円 | $199 |
| 2年 | $1058 | 105000円 | 40250円 | $348 |
| 3年 | $1437 | 142800円 | 57500円 | $498 |
| 4年 | $1676 | N/A | 74750円 | $647 |
| 5年 | N/A | N/A | 92000円 | $796 |
rapid-ssl.jp, onlinessl.jp はいずれも Equifax で実在証明なしだと思われる(未確認) 実在証明不要だったら円高の今は onlinessl.jp がチャンス。
ちなみに日本から NetworkSolutions という選択肢はもはやないと思う。
RapidSSLのテストページ によるとonlinessl.jp は Equifax Secure eBusiness CA-1 だな。
コマンドラインから証明書を発行する場合には、X.509 拡張属性 のフィールドについて理解しておく必要がある。
Microsoft証明書サービスでドロップダウンリストで選ばされていたのはここのフィールドの設定だったのか。
X.509電子証明書の互換性(IPA)も参考になる。
keyUsageに実際に設定する値は、RFC24594.2.1.3章参照。
フリーの実装が見つからない。SOCKS64 Gatewayというのが発表はされているのだが。
Mimori's Algorithms Press 