CSRに対してSelf Signを行おうとすると「failed to update database. TXT_DB error number 2」というエラーが出る 2007/10/23更新 対応バージョン: 0.9.8g CSRに含まれているCNと同じCNを持った証明書が認証局内に既に存在する。 CNを変えたCSRを新たに作成するか、該当CNの証明書が不要ならその証明書を破棄してから再度Self Signを行う。
最近は、WEBブラウザでアクセスする管理ツールでもHTTPSで使用するのが一般的になっています。ですが、デフォルトの証明書だと警告とかエラーになることが多々あったりするので、とりあえず内部で使うものやテストでは自己認証を、外部に公開するものについてはちゃんとした認証局から証明書を購入するのが一般的かと思います(まあ、エラーを気にせず使うことも多いか…)。 そんなわけで、OpenSSLの使用機会が多くなったのでメモ 1. OpenSSLの設定ファイルを一部修正 # cd /etc/pki/tls # cp -p openssl.cnf openssl.cnf.org (デフォルトのファイルをコピーしておく) # vi ./openssl.cnf --- 以下のセクションのパラメータを設定 [ CA_default ] default_md = sha256 (SHA-2への移行対応) [ r
SSL証明書の作成での failed to update database TXT_DB error number2 発生時の対処 SSLのサーバ証明書やクライアント証明書を作成しようとした場合に、次のようなエラーが発生することがあります。 [root ~]# openssl ca -in client.csr -out client.crt Using configuration from /etc/pki/tls/openssl.cnf Enter pass phrase for ../../CA/private/cakey.pem: Check that the request matches the signature Signature ok Certificate Details: (略) Sign the certificate? [y/n]:y failed to upda
I am running openvpn on an Ubuntu 14.04 box. The setup was fine until an OpenSSL upgrade, then when I try to create new client cert with easy-rsa, I got this message: root@:easy-rsa# ./pkitool onokun Using Common Name: onokun Generating a 2048 bit RSA private key .+++ ........+++ writing new private key to 'onokun.key' ----- Using configuration from /etc/openvpn/easy-rsa/openssl-1.0.0.cnf Error Lo
By Pressmaster 「フリーソフトウェア」「無料アプリ」の中には便利なものがたくさんあります。しかし、有料のソフトウェアの中にも「無料のコード」が多数内在しています。さまざまなプロトコルを用いてデータを転送するライブラリ「libcurl」とファイルを送受信用コマンドラインツール「cURL」を開発し無料で提供しているダニエル・ステンバーグさんが「オープンソースプロジェクトを公開すること」にまつわる自身のエピソードを語っています。 The Internet Relies on People Working for Free - OneZero https://onezero.medium.com/the-internet-relies-on-people-working-for-free-a79104a68bcc iPhoneのような多数のコードによって動いている製品の価格には、その
発行されたSSL証明書の内容 サーバSSL証明書の購入をベンダに申し込み、めでたく発行されたらサーバに挿すわけだが、そもそもベンダに渡したCSRが手違いであったりして、万が一誤った内容の証明書が発行されていた場合、サーバに挿しても動かない(HTTPSアクセス不可、警告表示など)という悲惨な目に合ってしまう。 発行された内容が正しいかどうかをopensslコマンドで確認する方法があるので、是非覚えておきたい。 (正直コマンドをよく忘れてしまうので、このエントリはその備忘目的。) ハッシュ値の確認 秘密鍵、証明書、CSRの3つは全て同じハッシュ値が取れるようになっている。 これによりCSRをもとに作成された秘密鍵及び証明書が正しくできているかを確認することが出来る。 以下、それぞれのファイルのハッシュ値確認方法。 (ハッシュ値は適当) 秘密鍵のハッシュ確認 $ openssl rsa -noo
サーバに設定されている証明書を確認する方法 ブラウザからの接続では、中間CA証明書が正しく設定されているかなどの詳細を確認することができないため、詳細を確認するにはopensslコマンドが有効です。 コマンドの例 openssl s_client -connect ssl.example.org:443 -showcerts デフォルトのポート番号は以下のとおりです。 HTTPS 443 POP over SSL 995 SMTP over SSL 465 IMAPS 993 出力結果の例 グローバルサインのサーバ証明書は3階層ですので、ルート証明書の下には2枚の証明書が存在しています。 [-----BEGIN CERTIFICATE-----] から [-----END CERTIFICATE-----] までが証明書です。 1枚目はお客様の証明書、2枚目は中間CA証明書であるこ
どうも、こんにちは豊かな大島です。 SSL証明書の簡単な整合性確認方法に入る前に少しだけSSL証明書の概要を説明したい。 皆さんはネット通販などでよく買い物をすると思います。 その際、住所や名前、クレジットカード番号など、つまり個人情報を入力しますよね? インターネットのホームページに個人情報など入力するのはとても怖いことですね。 SSL証明書はそんなあなたの不安や悩みを排除してくれるのです。 簡単に説明するとSSL証明書とは・・・・ ”SSL証明書認証局が安全と認めたホームページにのみ個人情報など入力したデータを外部から解読できないように暗号化して情報の送受信を可能にした仕組み” です。 つまり、SSL証明書の仕組みによって私たちの個人情報が守られています。 SSL証明書には色々な種類があります。 三つのファイルによって構成されている事が多いです。(他にも豊富に複雑な仕組みがあります)
本稿では OpenSSL ライブラリを利用して SSL の自己証明書を発行する手順について解説します。 前提 本稿では次の条件に基づき手順を解説します。 公開鍵暗号方式 : RSA秘密鍵長 : 2048bit OpenSSL ライブラリのインストール 本稿では暗号鍵の作成に OpenSSL ライブラリを利用します、予めインストールしてください。 既にインストールされている場合でも、脆弱性のある OpenSSL を利用していては意味がないので、最新版のライブラリがインストールされているかを確認しましょう。 CentOS でインストールする場合 # yum -y install openssl 秘密鍵の作成 それでは1つずつ手順を解説していきます、まずは秘密鍵の作成です。 前述の通り、公開鍵暗号方式として RSA を利用するので、RSA 方式の秘密鍵を作成します。 作成には openssl g
前回のopensslでRSA暗号と遊ぶでRSA暗号や秘密鍵について中身を色々といじってみた。続いて今回は、Apacheで使うオレオレ証明書を作ってみる。 細かいことはいいから、オレオレ証明書を作るコマンドだけ知りたい お急ぎの方は、以下3つだけやれば良い。これで10年間(3650日)有効なオレオレ証明書ができあがる。 $ openssl genrsa 2048 > server.key $ openssl req -new -key server.key > server.csr $ openssl x509 -days 3650 -req -signkey server.key < server.csr > server.crtできあがったserver.crtとserver.keyを、例えば/etc/httpd/conf/ 配下のssl.crt/ と ssl.key/ ディレクトリに設置
概要 証明書は認証局 (CA) が公開鍵 (をもとに情報を付加した証明書署名要求 (CSR; certificate signing request)) に署名をしたものです。一般的に証明書は公開鍵を内包しています。 証明書とか認証局についての簡単なまとめ: CA, X.509, PKI, 証明書ディレクトリ, 証明書破棄リスト(CRL) 暗号技術まわりの用語の簡単なまとめ: 公開鍵暗号, ハイブリッド暗号, サーバ証明書とクライアント証明書 上記ページで概念的に紹介した、サーバ証明書およびクライアント証明書を実際にコマンド例を示しつつ発行します。 認証局 (CA) を構築 証明書は認証局 (CA) が 証明書署名要求 (CSR; certificate signing request) に署名をしたものです。認証局 (CA) は秘密鍵を持っています。署名にはその秘密鍵を使用します。つまり
セキュリティーガイド 1. セキュリティーの概要 Expand section "1. セキュリティーの概要" Collapse section "1. セキュリティーの概要" 1.1. コンピューターセキュリティーとは Expand section "1.1. コンピューターセキュリティーとは" Collapse section "1.1. コンピューターセキュリティーとは" 1.1.1. セキュリティーの標準化 1.1.2. 暗号化ソフトウェアおよび認定 1.2. セキュリティーコントロール Expand section "1.2. セキュリティーコントロール" Collapse section "1.2. セキュリティーコントロール" 1.2.1. 物理的コントロール 1.2.2. 技術的コントロール 1.2.3. 管理的コントロール 1.3. 脆弱性のアセスメント Expand s
一般的な認証局はルート認証局,中間認証局と複数階層になっています。これは,ルート認証局をセキュリティ的に保護するためです。ルート認証局は中間認証局の証明書を発行するだけの機能を持ち,通常はオフラインにしています。中間認証局がエンドエンティティの証明書を発行する機能を受け持ちます。ルート認証局がオフラインのため,ハッキングを受けるリスクが減るというわけです。 Ubuntu上に構築したOpenSSLのオレオレ認証局(リンク)でも,これをマネして複数階層の認証局を構築してみます。 はじめに この2つのCAを構築していきます。 ・ルート認証局:Trusted Design RootCA ・中間認証局:Trusted Design IssuingCA このようなフォルダ構成にしていきます。 /usr/local/ssl/にOpenSSL(2018年6月時点の最新版である1.0.2o)がインストールさ
openssl.cnfの設定 ルート認証局と中間認証局を1つのサーバで運用する場合はopenssl.cnfを分けたほうがいいので分けて記載します。 cp -a /etc/pki/tls/openssl.cnf /etc/pki/tls/openssl_root.cnf #ルート証明書用にコピー vim /etc/pki/tls/openssl_root.cnf ・ ・ ・ [ CA_default ] #dir = /etc/pki/CA # Where everything is kept dir = /etc/pki/KaedeRootCA # Where everything is kept certs = $dir/certs # Where the issued certs are kept crl_dir = $dir/crl # Where the issued crl ar
証明書の取得時に必要なファイルは正直ややこしいです。 ファイルの中身を見ても、暗号化された難解な文字列が並んでいるだけですので、なかなか区別がつきません。 そこで、今回はこのややこしいファイル「CSR」「秘密鍵」「証明書」の見分け方について簡単にご説明します。 CSR 「—–BEGIN CERTIFICATE REQUEST—–」からはじまり 「—–END CERTIFICATE REQUEST—–」で終わるファイルです。 証明書の申請時に提出するファイルがこれです。 このファイルに含まれる情報を元に証明書が発行されます。 よくある拡張子は「*.csr」「*.txt」などですが、拡張子とファイルの中身が一致していない場合もありますので、ファイルの中身を見て判断して下さい。 Apacheの場合は、当サイトのCSR生成ツールで作成して頂いても大丈夫です。 IISの場合、証明書をインストールする
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く