2013年11月19日

CSRとSSL証明書

SSL証明書を認証局に発行してもらうときには、以下のような流れとなります。


  1. CSRの発行

  2. 認証局でのSSL証明書の発行

  3. SSL証明書をサーバにインストール



1で発行されたCSRファイルの中身の確認方法と、2で発行されたSSL証明書の中身の確認方法についてまとめてみました。





CSRの内容確認方法




端末からopensslコマンドを使用してCSRの中身を確認します。

# openssl req -in CSRファイル名 -noout -text


いろいろと出力されますが、その中でCertificate Request: -> Data: -> Subject:を確認すると以下のような証明対象(ドメインとかそれを所有する組織など)に関する情報が表示されています。
C=JP, ST=state, L=Locality, O=Organization, OU=Organization Unit, CN=puppylinux.seesaa.net


Certificate Request: -> Data: -> Subject Public Key Info: -> Public Key Algorithm:を確認すると公開鍵の暗号化アルゴリズムが表示されています。
Public Key Algorithm: rsaEncryption


Certificate Request: -> Data: -> Subject Public Key Info: -> RSA Public Key:を確認すると公開鍵の鍵長が表示されています。
RSA Public Key: (2048 bit)




openssl reqコマンドについて




# openssl req -in CSRファイル名

とすると、PEM形式でCSRファイルの中身が出力されます。

-nooutオプションをつけるとCSRファイルの中身は出力されません。
# openssl req -in CSRファイル名 -noout


-textオプションをつけるとCSRの内容がテキスト形式で出力されます。
# openssl req -in CSRファイル名 -noout -text




SSL証明書ファイル(PKCS#7形式)の内容確認方法




IISでSSL証明書を利用する場合は、PKCS7形式でSSL証明書ファイルが届きます。
PKCS7形式は1ファイルのなかに証明書と中間証明書がまとまっています。
ちなみに、PKCS7形式でSSL証明書ファイルは、拡張子を.p7bとしておくとWindowsで取り扱うときは便利です。

こちらも端末からopensslコマンドを使用して証明書の中身を確認します。

# openssl pkcs7 -in SSL証明書ファイル名 -print_certs -noout -text


Certificate Request: -> Data: -> Validityを確認すると以下のように有効期限に関する情報が表示されています。間違えがないかよく確認しておきましょう。
Not Before: Aug 19 09:42:52 2013 GMT
Not After : Sep 26 08:33:58 2014 GMT


あとはCSRの時と同じです。CSRと違いがないか確認しておきましょう。


Certificate Request: -> Data: -> Subject:を確認すると以下のような証明対象に関する情報が表示されています。
C=JP, ST=state, L=Locality, O=Organization, OU=Organization Unit, CN=puppylinux.seesaa.net


Certificate Request: -> Data: -> Subject Public Key Info: -> Public Key Algorithm:を確認すると公開鍵の暗号化アルゴリズムが表示されています。
Public Key Algorithm: rsaEncryption


Certificate Request: -> Data: -> Subject Public Key Info: -> RSA Public Key:を確認すると公開鍵の鍵長が表示されています。
RSA Public Key: (2048 bit)




openssl pkcs7コマンドについて




# openssl pkcs7 -in SSL証明書ファイル名

とすると、PEM形式(PKCS#7形式)でSSL証明書ファイルの中身が出力されます。

-nooutオプションをつけるとSSL証明書ファイル名の中身は出力されません。
# openssl pkcs7 -in SSL証明書ファイル名 -noout


openssl reqコマンドと違って、-textオプションをつけただけではなにも出力されません。
# openssl pkcs7 -in SSL証明書ファイル名 -noout -text


情報を表示するためには-print_certsオプションが必要です。
以下のようにすると、PKCS#7形式のSSL証明書ファイルに含まれる各証明書のsubject(証明対象)とissuer(発行者)のみが表示されます。
# openssl pkcs7 -in SSL証明書ファイル名 -noout -print_certs


-print_certsに加えて-textオプションをつけると、SSL証明書の詳細情報まで表示されます。
# openssl pkcs7 -in SSL証明書ファイル名 -noout -print_certs -text



pkcs#7形式のファイルからX.509形式の情報を抜き出す方法




pkcs#7形式のファイルからX.509形式の情報を抜き出す時は、以下のように打ちます。
# openssl pkcs7 -in SSL証明書ファイル名 -print_certs

PKCS#7形式のSSL証明書ファイルに含まれる各証明書のsubject(証明対象)とissuer(発行者)
の下に、X.509形式(PEM形式)の情報が出力されます。

-----BEGIN CERTIFICATE-----から-----END CERTIFICATE-----の部分がそれぞれの証明書のX.509形式となります。この部分を別ファイルに切り出せばX.509形式の証明書ファイルとして取り扱うことができます。



SSL証明書ファイル(X.509形式)の内容確認方法




同じく端末からopensslコマンドを使用して中身を確認します。

# openssl x509 -in SSL証明書ファイル名 -noout -text


確認できる内容はPKCS#7の時と同じです。

Certificate Request: -> Data: -> Validityを確認すると以下のように有効期限に関する情報が表示されています。間違えがないかよく確認しておきましょう。
Not Before: Aug 19 09:42:52 2013 GMT
Not After : Sep 26 08:33:58 2014 GMT


Certificate Request: -> Data: -> Subject:を確認すると以下のような証明対象に関する情報が表示されています。
C=JP, ST=state, L=Locality, O=Organization, OU=Organization Unit, CN=puppylinux.seesaa.net


Certificate Request: -> Data: -> Subject Public Key Info: -> Public Key Algorithm:を確認すると公開鍵の暗号化アルゴリズムが表示されています。
Public Key Algorithm: rsaEncryption


Certificate Request: -> Data: -> Subject Public Key Info: -> RSA Public Key:を確認すると公開鍵の鍵長が表示されています。
RSA Public Key: (2048 bit)





openssl x509コマンドについて




# openssl x509 -in SSL証明書ファイル名

とすると、PEM形式でSSL証明書ファイルの中身が出力されます。

-nooutオプションをつけるとSSL証明書ファイルの中身は出力されません。
# openssl x509 -in SSL証明書ファイル名 -noout


-textオプションをつけるとSSL証明書ファイルの内容がテキスト形式で出力されます。
# openssl x509 -in SSL証明書ファイル名 -noout -text






(Wary Puppy Linux 511-01)



SSLについてより詳しいことを知りたいときは





SSL/TLSについてより詳しいことを知りたい方はこちらの書籍を参考にしてください。
opensslコマンドの使い方というよりは、概念からプログラミングまでがっつり解説してあります。

マスタリングTCP/IP SSL/TLS編

まずこちらでしっかり概念を理解しましょう。


OpenSSL―暗号・PKI・SSL/TLSライブラリの詳細―

ライブラリについて知りたい方はこちらを。





posted by かごめ at 01:28| Comment(0) | TrackBack(0) | 使い方 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。
この記事へのトラックバックURL
http://blog.seesaa.jp/tb/379893533

この記事へのトラックバック
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。