図解 X.509 証明書 - Qiita
はじめに X.509 証明書について解説します。(English version is here → "Illustrated X.509 Certificate") ※ この記事は 2020 年 7 月 1 日にオンラインで開催された Authlete 社主催の『OAuth/OIDC 勉強会【クライアント認証編】』の一部を文書化したものです。勉強会の動画は公開しており、X.509 証明書については『#4 X.509 証明書(1)』と『#5 X.509 証明書(2)』で解説しているので、動画解説のほうがお好みであればそちらをご参照ください。 1. デジタル署名(前提知識) この記事を読んでいただくにあたり、デジタル署名に関する知識が必要となります。つまり、「秘密鍵を用いて生成された署名を公開鍵で検証することにより」、「対象データが改竄されていないこと」や「秘密鍵の保持者が確かに署名したこと
その証明書、安全ですか? | IIJ Engineers Blog
はじめに いまやWebサイトはすっかりHTTPSが常識になりました。ほんの数年ほど前は「常時SSL」というキーワードをよく目にしましたが、それが実現した今となってはまったく見なくなりました。 平文のHTTPが安全でないのはわかるとして、HTTPSならばほんとうに安全なのでしょうか。 事例1: MyEtherWallet 2018年4月、MyEtherWalletという仮想通貨事業者の権威DNSサーバへの経路がBGPハイジャックされました。myetherwallet.comのDNS問い合わせに対して、偽の権威DNSサーバが偽のWebサーバにアクセスさせるような応答を返し、結果として、偽MyEtherWalletにアクセスすることになったユーザから15万ドル相当の仮想通貨が奪われました。 The Registerの記事 Oracleによる解説 ユーザが誘導された偽のWebサイトはHTTPSで動
OpenSSLコマンドでサーバの証明書情報を確認する4つの方法
インターネットの安全を支えるOpenSSL TLSはインターネットを安全に利用する上で欠かすことのできない重要な要素だ。そして、その実装系のひとつであるOpenSSLは多くのサーバ管理者にとって欠かすことのできないソフトウェアとなっている。 ユーザーの多くはOpenSSLについて気にも留めていないか、パワーユーザーであればOpenSSLを暗号系のライブラリまたはフレームワークといった類のもの、という認識を持っているのではないだろうか。Webサーバの管理者であれば、Webサーバをセットアップする最初の段階で証明書の作成に利用するツールという認識を持っているかもしれない。しかし、OpenSSLはそれだけのソフトウェアではない。 OpenSSLは証明書署名要求や自己署名証明書の生成のみならず、ファイルの暗号化や復号化、証明書の検証や証明書有効期限の確認など、さまざまな機能を提供するコマンドでもあ
Python requestsライブラリは認証局の証明書をどう管理する? | DevelopersIO
Python でHTTP(S)通信をするようなプログラムを書く場合、requests ライブラリを直接・間接的に使っていることが非常に多いかと思います。 HTTPS通信の際には、サーバーの証明書が信頼できる認証局によって発行されたものかクライアントはチェックします。 このチェックのために、クライアントは信頼できる認証局の一覧(認証局の証明書リスト)を保持しています。 requests ライブラリが信頼できる証明書リストをどこから持ってきているのか調べる機会が有りましたので、ご紹介します。 前提 現時点の最新版は 2017/08/15 にリリースされた 2.18.4 です。 あまりに古すぎるバージョンから歴史を追うと大変なため、2013/09/24 にリリースされた 2.0.0 以降を対象とします。 証明書リスト取得の変遷 ライブラリが利用する証明書リストは OS 標準 ライブラリにバンドル
オレオレ (サーバ/クライアント) 証明書の発行
概要 証明書は認証局 (CA) が公開鍵 (をもとに情報を付加した証明書署名要求 (CSR; certificate signing request)) に署名をしたものです。一般的に証明書は公開鍵を内包しています。 証明書とか認証局についての簡単なまとめ: CA, X.509, PKI, 証明書ディレクトリ, 証明書破棄リスト(CRL) 暗号技術まわりの用語の簡単なまとめ: 公開鍵暗号, ハイブリッド暗号, サーバ証明書とクライアント証明書 上記ページで概念的に紹介した、サーバ証明書およびクライアント証明書を実際にコマンド例を示しつつ発行します。 認証局 (CA) を構築 証明書は認証局 (CA) が 証明書署名要求 (CSR; certificate signing request) に署名をしたものです。認証局 (CA) は秘密鍵を持っています。署名にはその秘密鍵を使用します。つまり
NginxでWPの管理画面だけクライアント認証をしてみる | ぴんくいろにっき
WordPressをVPSで動かしてるとスパムコメントも気になるけど勿論ダッシュボードのセキュリティも心配だよね。 念には念を入れていてもいつアタックされるか分からない。 幸いにも今のところ不正ログインを試みた形跡は無いようだけれども以前他のところのWPで謎のアタックが行われたこともあるので… SSLでクライアント認証するよ! 今回はConoHaのWordpressテンプレ、すなわちAmimotoを利用した環境を前提とする。 とりあえずオレオレ証明書を使用するので 自己証明CAとサーバー証明書とクライアント証明書を用意してあること WordPressで管理画面をSSL化させる設定(ssl.default.confを利用)で問題なくダッシュボードにアクセス出来るようになっていること が前提です。(そのまま設定するとリダイレクトループが起こったりすることがあります。そこは何とか先に頑張って。)
よく分かる!iOS アプリ開発に必要な証明書ファイルの作成方法 2015年版 | DevelopersIO
(2015/12/02 20:49 冒頭の一部記述を修正しました) 朝のジャスミン茶は欠かせない田宮です。 今日は、証明書周りの手順について解説させていただきます。 証明書周りは一度やるとあとは暫く触れる事がないので、備忘も兼ねて書かせていただきます。本記事では、証明書作成要求(CSR)の作成⇒開発用証明書(CER)の作成⇒Macに開発用証明書(CER)を登録までを記載させて頂きます。 本記事は、2013年の以下の記事を元に、最新の環境に合わせて変更したものになります! よく分かる!iOS アプリ開発に必要な証明書ファイルの作成方法 | アドカレ2013 : SP #4 | Developers.IO 証明書とは iOS アプリを App Store に出すために、アプリ配布用の証明書というものが必要です。 証明書が必要な理由 配布用証明書は、以下の目的のために存在します。 アプリを誰が作
Let's Encrypt発行の無料サーバ証明書、全主要ブラウザで有効に
インターネット上の通信を暗号化するTLSのために必要なサーバ証明書を無料で発行している「Let's Encrypt」は10月19日、米大手認証局(CA)IdenTrustとのクロス署名が実現し、Let's Encryptの発行する証明書が全主要ブラウザで信頼できる証明書として認識されるようになったと発表した。 クロス署名はLet's Encryptが発行する中間証明書の「Let's Encrypt Authority X1」と「Let's Encrypt Authority X2」の両方が対象となる。これでユーザー側で特別な設定をしなくても、これら証明書を使ったWebサイトのURLにhttpsの鍵マークが表示され、安全な接続が保証される。 Let's EncryptはTLSの普及を目指し、手軽に実装できるサーバ証明書を無料で発行するCAとして、MozillaやCisco Systemsとい
Apache/SSL自己証明書の作成とmod sslの設定 - maruko2 Note.
Apache/SSL自己証明書の作成とmod sslの設定 提供:maruko2 Note. < Apache 移動: 案内, 検索 目次 1 手順 2 秘密鍵の作成 (server.key) 3 CSR(証明書の基になる情報)の作成 (server.csr) 3.1 入力項目の例 4 証明書(公開鍵)の作成 (server.crt) 5 Apache mod_ssl の設定 6 Apache 起動時にパスフレーズの入力を省略する 6.1 秘密鍵 (server.key) ファイルをあらかじめ復号化しておく方法 6.2 Apache起動時のパスフレーズ入力を自動化する方法 7 参考ページ 8 Apache 関連のページ 手順 2017年1月1日以降、SSL 証明書の署名アルゴリズムとして SHA-1 を使用している証明書は SSL 通信ができなくなる。 これは、Windows製品、Goog
オレオレ証明書をopensslで作る(詳細版) - ろば電子が詰まつてゐる
前回のopensslでRSA暗号と遊ぶでRSA暗号や秘密鍵について中身を色々といじってみた。続いて今回は、Apacheで使うオレオレ証明書を作ってみる。 細かいことはいいから、オレオレ証明書を作るコマンドだけ知りたい お急ぎの方は、以下3つだけやれば良い。これで10年間(3650日)有効なオレオレ証明書ができあがる。 $ openssl genrsa 2048 > server.key $ openssl req -new -key server.key > server.csr $ openssl x509 -days 3650 -req -signkey server.key < server.csr > server.crtできあがったserver.crtとserver.keyを、例えば/etc/httpd/conf/ 配下のssl.crt/ と ssl.key/ ディレクトリに設置
iOSのSSL通信でオレオレ証明書を使う | J7LG
よく、NSURLRequestのallowsAnyHTTPSCertificateForHostをオーバーライドするという記事を見かけるけど、これを使うとリジェクトされる。 ちゃんとリファレンスを読んでみると、上記方法を使わなくても、SecCertificateCreateWithDataとconnection:didReceiveAuthenticationChallengeなどを使うことで、オレオレ証明書を利用できる。 サーバー証明書の作成 SecCertificateCreateWithDataではDER形式の証明書が必要とのことなので、まずはサーバーの証明書からDER形式の証明書を作成する。 今回利用するサーバーはFedora 10です。 cd /etc/pki/tls/certs/ openssl genrsa -des3 -out server.key 1024 openssl
複数のMacで開発する際の証明書:iPhoneアプリ開発雑記帳
複数のMacで開発するにあたり、証明書の扱いに注意が必要です。 Provisioning PortalのCertificateからは、1台分の証明書リクエストのみしか登録できません。 複数のMacを使用したい場合は、まず1台目のMacで証明書の登録を行ないます。 2台目以降のMacには、Provisioning Portalからダウンロードしたファイルではなく、1台目に登録したMacから証明書を書き出して使用します。 1台目のMacのキーチェーンアクセスを起動し、分類の証明書からiPhone DeveloperやiPhone Distributionなどの必要となるキーを探します。 書き出したい証明書を見つけたら右クリックし、「(書き出したい証明書の名称)を書き出す…」を選択します。 書き出す時のフォーマットは「個人情報交換(.p12)」を選択します。 続いて、パスワードを設定します。 こ
HTTPS + SVN でクライアント証明書を使ってみよう
今回の記事は、SVNのレポジトリに外部からアクセスする際にHTTPSを使用していると、認証が色々と面倒なので、クライアント認証を使用してみましょうという主旨です。 クライアント証明書による認証とは? SSH の鍵認証のように、登録済みのファイルを持っている人しかアクセスできなくする方法です。 すごく単純ですが、ユーザ名とパスワードがあってもだめで、正しい証明書を持っているユーザのみがアクセスできる方法です。 とはいっても証明書はオレオレ証明局になってしまうので、ご利用は計画的にお願いします。 最終的にはどうなるの? SVNのレポジトリにHTTPSでアクセスするすべてのマシンにクライアント証明書をインストールします。 パスワードは使ってもいいし、使わなくてもいいです。 手順 1. 証明局(CA)の立ち上げ CA とは、Certificate Authorityの略です。 証明局と言っています
(旧) 猫好きモバイルアプリケーション開発者記録 オレオレ証明書を信頼のおけるSSL証明書にしてみる Vol.1
なんだか今更かと思われる内容ですが、いわゆるSSLのオレオレ証明書を作成する上で中間証明書についてまで詳しく触れているサイトがネット上で少なかったので、(あるにはあるけど、実運用を考えると今ひとつ面倒な手順だったり…) 今更とはいえ敢えて書いてみることにしました。 (個人的解釈も交えているので多少間違っていたら指摘してください) まずSSL証明書についてですが、いわずとしれたSSL通信を行うために必要な証明書のことです。 このSSL証明書をサーバ上のApacheやnginxなどに設定することで、 SSLによる暗号化通信が行えるようになります。 サーバに設定するSSL証明書は、単に「サーバ証明書」とも呼ばれます。 さて、このサーバへ設定するSSL証明書とはそもそもどういうものなのでしょうか。 一般的にお金を払わないと発行されないものであるけど、オレオレ証明書という自己証明書を作ることもできる
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
