SSL証明書と秘密鍵のペア確認 - tsunokawaのはてなダイアリー
概要 SSL証明書と秘密鍵がたくさんあったり更新の時期や担当者の変更などでSSL証明書と秘密鍵のペアが分からなくなるときがあります。 証明書ファイル example.com.crt 秘密鍵ファイル example.com.key 上記のファイル名の証明書ファイルと秘密鍵ファイルがペアかどうか確認する手順です。 確認用コマンド 以下コマンドの出力結果を比較して結果が同じであればペアです。 証明書確認コマンド openssl x509 -in example.com.crt -noout -modulus 秘密鍵確認コマンド openssl rsa -in example.com.key -noout -modulus 確認用シェルスクリプト 上記コマンドでも確認出来ますがスクリプトにしておくと便利です。 使い方 ssl-cert-key-paircheck.sh -c example.com
NginxのSSL中間証明書設定 - tsunokawaのはてなダイアリー
NginxのSSL中間証明書を設定する方法がApacheとちょっと違ったのでメモ Apacheの場合 SSL証明書とSSL中間証明書をそれぞれ発行元からダウンロードして設定 SSLCertificateFile xxxxx.crt # 証明書 SSLCertificateKeyFile xxxxx.key # 秘密鍵 SSLCertificateChainFile xxxxx.chukan # 中間証明書 Nginxの場合 SSL証明書とSSL中間証明書をそれぞれ発行元からダウンロードしてから ファイルを結合して1ファイルにする。 結合といっても単にviとかで開いて追記すればいいだけ。 ファイルの中身はこんな感じ。 -----BEGIN CERTIFICATE----- SSL証明書 -----END CERTIFICATE----- -----BEGIN CERTIFICATE-----
nginx に中間証明書をインストールする方法|SSLサーバ証明書ならグローバルサイン (旧日本ジオトラスト株式会社)
nginxには、中間証明書を直接指定するディレクティブが用意されていないため、サーバ証明書と中間証明書を結合したものを「ssl_certificate」で指定します。 ファイル結合コマンド例 # cat server.cer cacert.cer > cert.pem 結合した証明書ファイルは、下記のような構成になります。 -----BEGIN CERTIFICATE----- [サーバ証明書] -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- [中間証明書] -----END CERTIFICATE-----
nginx + ngx_mruby での、 Let's Encrypt の SSL 証明書の動的読み込み - なつねこメモ
この記事を見て、やってみようと思ったのでメモしとこうかなと。 タイトルに Let's Encrypt のと含めてますが、他でも問題ない(はず)です。 HTTP/2 への mruby 活用やこれからの TLS 設定と大量証明書設定の効率化について とりあえず、まずは ngx_mruby をインストールするところから。 (昨日あたりに、 nginx の Mainline 1.9.11 がでたっぽい) $ cd /path/to/work $ wget http://nginx.org/download/nginx-1.9.10.tar.gz $ tar xzvf nginx-1.9.10.tar.gz $ git clone git@github.com:matsumoto-r/ngx_mruby.git $ cd ngx_mruby $ git submodule init $ git su
Let's Encrypt を支える ACME プロトコル - Block Rockin’ Codes
Intro 先日 #http2study で mozilla の Richard Barnes が Let's Encrypt について話してくれました。 資料: Let's Encrypt Overview この資料の翻訳 はしたのですが、いらなくなってしまったので供養もかねてこのプロジェクトのモチベーションと、 Web でおこっている HTTPS 推進のたどる道について、資料を補足しつつ紹介します。 結論から言うと Let's Encrypt はもちろん ACME プロトコル についても是非知っておくと良いと思います。 HTTPS の問題 すでにこのブログでも紹介しているように、 Web における HTTPS の重要性は増し、それの普及を後押しする活動が各所で進められています。 HTTPS 化する Web をどう考えるか よく言われる盗聴防止を始め、暗号化を行うことで防げる問題は多くあ
CentOS7の検証: CA証明書の管理方針が変更に - s_tajima:TechBlog
概要 CentOS7の検証をしていると、ca-bundle.crtがシンボリックリンクになっていることに気がついた。 $ ll /etc/pki/tls/certs/ca-bundle.crt lrwxrwxrwx 1 root root 49 7月 16 17:04 /etc/pki/tls/certs/ca-bundle.crt -> /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem/etc/pki/ca-trust/という見覚えのないディレクトリがある。 /etc/pki/ca-trust/READMEを見ると This directory /etc/pki/ca-trust is used by a system of consolidated CA certificates. Please refer to the update-
オレオレ証明書をopensslで作る(詳細版) - ろば電子が詰まつてゐる
前回のopensslでRSA暗号と遊ぶでRSA暗号や秘密鍵について中身を色々といじってみた。続いて今回は、Apacheで使うオレオレ証明書を作ってみる。 細かいことはいいから、オレオレ証明書を作るコマンドだけ知りたい お急ぎの方は、以下3つだけやれば良い。これで10年間(3650日)有効なオレオレ証明書ができあがる。 $ openssl genrsa 2048 > server.key $ openssl req -new -key server.key > server.csr $ openssl x509 -days 3650 -req -signkey server.key < server.csr > server.crtできあがったserver.crtとserver.keyを、例えば/etc/httpd/conf/ 配下のssl.crt/ と ssl.key/ ディレクトリに設置
Windowsで「不正なCAルート証明書」を確認して削除する
対象ソフトウエア:Windows 7/Windows 8/Windows 8.1/Windows Server 2008 R2/Windows Server 2012/Windows Server 2012 R2 解説 2015年2月中旬、レノボ製の個人向けPCの一部にプレインストールされた「Superfish」というソフトウエアが、深刻なセキュリティ上の問題を引き起こす危険性があることが報道された。 LenovoのノートPCに不正なアドウェア、SSL通信を傍受(ITmediaエンタープライズ) Lenovo、「Superfish」プリインストールについて公式見解を発表(ITmedia PC USER) Lenovo、不正ソフトの削除ツール公開 他のアプリに影響も(ITmediaエンタープライズ) このソフトウエアは、一緒にインストールされた「CAルート証明書」を利用して、同じコンピュータ
プログラムでデジタル証明書をインストールするには? - @IT
セットアップ・プログラムやClickOnce配置などを中心に、セキュリティ管理の手段としてデジタル証明書(Digital Certificate)を活用する場面が増えている。Windows OSにはデジタル証明書を一元管理する機能が搭載されており、これを操作/閲覧するためのツールとして「証明書MMCスナップイン」(certmgr.msc)が提供されている。 このツールは、通常「C:\Windows\System32\certmgr.msc」にインストールされており、起動すると次の画面のような「証明書MMCスナップイン」が表示される。素早く起動するには、[Windows]+[R]キーで[ファイル名を指定して実行]ダイアログを表示し、「certmgr.msc」と入力して[Enter]キーを押せばよい。 このツールを用いて手動でデジタル証明書をインストールするには、証明書MMCスナップイン(の左
個人利用なら SSL 証明書が無料で利用できるらしい: ある SE のつぶやき
「体系的に学ぶ 安全なWebアプリケーションの作り方」を読んでいたら、とっても気になる記述が。 サーバー証明書のうちドメイン認証証明書は比較的価格が安く、購入のハードルが低いものですが、ドメイン認証証明書には無料のものがあります。イスラエルのStartComという企業は、無料のサーバー証明書を発行しています。IE、Firefox、Google Chrome、Safari、Operaの最新版で証明書エラーなく使用できます。IE6でもアップデートが当たっていれば使用できます。 日本の携帯電話には対応していないようです。しかし、今までラピッド SSL が年間2,100円で最強だと思っていたけど無料のものがあるとは。気になったので、ちょっと調べてみました。 以下の画面が StartCom のサイトです。画面の赤枠のリンクをクリックすると次の画面が表示されます。 そうすると、SSL 証明書の製品紹介
『CSRと秘密鍵のペアを確認する方法』
SSL証明書を作成する際に作る、CSR(署名リクエスト)と秘密鍵ですが、そのペアを誤ると当然使い物にならなかったりします。 オレオレ証明書の場合はやり直しがききますが、認証局に申し込むSSL証明書の場合は、取り返しのつかない事態にもなりかねません。 また、複数のFQDNのCSRを作る場合、作業場所や操作を意識しながら行わないとどの秘密鍵とCSRがペアなのかわからない事態にもなってしまいます。 ここでは、申し込む前にきちんとCSRと秘密鍵のペアが正しいかを確認する方法を書いておきます。 まずは、秘密鍵とCSRを作成してみます。 この辺りの手順は、各認証局のマニュアルページにも書かれていたりするのであまり詳しく書きません。 # openssl genrsa -rand /dev/urandom -des3 -out private.key 1024 2048 semi-random bytes
OpenSSL CSR, 証明書など確認コマンド - tech-memo@さかにゃ日記
[カテゴリ:others] 秘密鍵の内容を確認 openssl rsa -in key.pem -text CSRの内容を確認 openssl req -inform der -in req.der -text openssl req -in req.pem -text 証明書の内容を確認 openssl x509 -inform der -in cer.der -text openssl x509 -in cer.pem -text CRLの内容を確認 openssl crl -inform der -in crl.der -text openssl crl -in crl.pem -text
システム管理者の心得? 〜 OpenSSLコマンドで証明書をチェック : DSAS開発者の部屋
サーバの管理なんぞしていると、「SSLのサイト作りたいからこの証明書を設置して欲しい」などと言われることは日常茶飯事・・・とまではいきませんが普通にあることだと思います。 でも、せっかく安全に気を配ってサーバに転送して設置して設定しても、「実はもらったファイルは違う鍵ファイルだった」なんて事はありませんか? まあ・・・実際あんまりないんですけど、そんな事があったら気が滅入って寝込んでしまいそうになるので、実環境へ持って行く前に軽く動作チェックをするようにしています。 mod_ssl いれてブラウザでアクセス・・・でもいいんですが、それだと気が短い人には耐えられないので、以下のようなコマンドを叩きます。 $ openssl s_server -cert [ファイル名] -key [秘密鍵ファイル名] Using default temp DH parameters ACCEPT こうなれば成
SSL証明書の価格ってピンキリですよね - 元RX-7乗りの適当な日々
Webサーバで利用するようなSSL証明書の価格って、物凄くピンキリですよね。 違いが良くわからなかったので簡単に調べたのですが、ピンキリの価格差は、以下の項目への対応度合いと、ブランドイメージ(ネームバリュー)が強く価格に出ている感じがしました。 ルートCAであるか、中間CAであるか 中間証明書の場合は、クライアントのブラウザに証明書のインストールが必要 各種ブラウザへの対応状況 携帯電話ブラウザへの対応状況 企業存在確認の方法(機械的か、人手を介するか) EV SSL証明書(厳重な審査&ブラウザのアドレスバーが緑になるらしい)などもある 暗号化レベルの対応幅(40bit, 128bit, 256bit...) SSL証明書といえば代名詞的な存在がVeriSign(ベリサイン)社ですが、いかんせんお高い。 そもそも信頼性を保障するものなので、厳密に審査されるものはお高くて当然なのですが。
Apache/SSL自己証明書の作成とmod sslの設定 - maruko2 Note.
Apache/SSL自己証明書の作成とmod sslの設定 提供:maruko2 Note. < Apache 移動: 案内, 検索 目次 1 手順 2 秘密鍵の作成 (server.key) 3 CSR(証明書の基になる情報)の作成 (server.csr) 3.1 入力項目の例 4 証明書(公開鍵)の作成 (server.crt) 5 Apache mod_ssl の設定 6 Apache 起動時にパスフレーズの入力を省略する 6.1 秘密鍵 (server.key) ファイルをあらかじめ復号化しておく方法 6.2 Apache起動時のパスフレーズ入力を自動化する方法 7 参考ページ 8 Apache 関連のページ 手順 2017年1月1日以降、SSL 証明書の署名アルゴリズムとして SHA-1 を使用している証明書は SSL 通信ができなくなる。 これは、Windows製品、Goog
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
DeNA Engineering - DeNAエンジニアのポータルサイト