OpenSSLで自己署名証明書を作成する(複数ホスト名:SAN/Subject Alternative Name設定付き) - CLOVER🍀
自己署名なSSL証明書を作成する方法を、メモとして書いておこうと思いまして。テストあたりで、使ったりしますしね。 今回使用した、OpenSSLのバージョンはこちら。 $ openssl version OpenSSL 1.1.0g 2 Nov 2017 手順は、 秘密鍵の作成 オマケでパスワードの解除方法 CSRの作成(自己署名証明書を作成する場合は、スキップ可能) 署名 となります。 まずは、秘密鍵の作成。 $ openssl genrsa -aes128 -out sample.key 2048 秘密鍵は、以下の情報で作成し、鍵の保護はAES-128を指定。 鍵アルゴリズム … RSA 鍵の長さ … 2048 bit パスフレーズ … (ここでは記載を省略) ApacheなどのWebサーバーで使う場合、起動時にパスワードが求められるのが嫌なら解除する方法も。 $ openssl rsa
OpenSSLで雑にCAを構築する - ももいろテクノロジー
CA.shやopenssl.cnfに触らずにCA証明書を作って署名する方法のメモ。 なお、きちんとした運用が必要な場面では参考にすべきでない。 話を単純にするため、以下で用いる公開鍵アルゴリズムはすべてRSA 2048 bitとする。 CA証明書の作成 自己署名証明書を作ると自動的にBasic ConstraintsにCA:TRUEが付くため、そのままCA証明書(より正確にはルート証明書)となる。 $ openssl genrsa -out ca.key 2048 $ openssl req -new -x509 -days 3650 -key ca.key -out ca.crt -subj "/CN=my private CA" ここでは、ca.keyがCAの秘密鍵、ca.crtがCA証明書となる。 また、-daysオプションを使って有効期限を約10年後に指定している。 指定しない場合
今度こそopensslコマンドを理解して使いたい (1) ルートCAをスクリプトで作成する - Qiita
これまでの反省 OpenSSLを使ってオレオレ証明書を作った経験は何度かあるのですが、先人がネットで紹介されていた手順のとおりに操作しただけで、各サブコマンドの機能や設定、オプションの意味など何も理解していませんでした。 今回、多数のプライベートCAとクライアント証明書をスクリプトで自動作成することになったので、これを機会にopensslコマンドの勉強を始めました。 なぜopensslコマンドが難しいのか 個人的に難しいと思う点をまとめたらこんなにありました… コマンド(サブコマンド)の数が多く、しかも機能が重複している OpenSSLコマンド(1.0.2): https://www.openssl.org/docs/man1.0.2/man1/ 同じ目的のための方法がいろいろある 例えば証明書発行を [秘密鍵を作成] → [署名要求を作成] → [署名して証明書を発行] と3手順で行う方
OpenSSLについて
OpenSSLコマンド簡易マニュアル OpenSSLコマンドは、証明書の作成のためのコマンドです。 opensslには、サブコマンドがあり、使用方法は、各サブコマンド毎に異なります。 また、簡易マニュアルですので、よく使うコマンドやオプションのみ記述しています。 詳細なオプションは、manなどで調べてください。 openssl 形式 openssl サブコマンド オプション 機能 OpenSSLのサブコマンドを実行する 機能やオプションは、サブコマンドによって異なる サブコマンド version OpenSSLのバージョン情報の表示 dgst メッセージダイジェストの計算 genrsa RSA形式の秘密鍵の作成 req 証明書の署名要求(CSR)の作成 x509 X.509証明書データの作成 asn1parse ASN.1形式の証明書の内容の表示
Windows OSで、証明書や秘密鍵をPEM形式に変換してエクスポートする
Windows OSで利用している電子証明書(以下、単に「証明書」)をUNIX/Linux環境に移したい。でも、両者の証明書の取り扱い方が違い過ぎてやり方が分からない……。そんな状況に遭遇したことはないだろうか。 本Tech TIPSでは、Windows OSで利用している証明書を、UNIX/Linuxの世界でよく使われている「PEM(Privacy Enhanced Mail)」形式に変換することで、より簡単に移行できるようにする方法と注意点を説明する。これにより、例えばWindows OSのIISで使っていたサーバ証明書を、クラウドやレンタルサーバ上のApache HTTP Serverに移す、といったことが可能になる。 変換作業はWindows OS上で行う。Windows OS標準ツールの他、オープンソースのSSL/TLSツールキット「OpenSSL」も利用する。Tech TIPS
opensslコマンドで個人的によく使うまとめ
個人的によく使うOpenSSLのコマンドをまとめてみましたよ! 証明書関係、PKCS#8、PKCS#12あたりですが間違ってたらすまん。 証明書を適当に作る。 鍵を作って openssl genrsa -out private.key 2048 証明書署名要求を作って openssl req -new -sha256 -subj /C=JP/CN=sample.com -key private.key -out csr.pem 適当なCAが署名する openssl ca -md sha256 -batch -policy policy_anything -in csr.pem -keyfile cakey.key -cert cacert.cer -out certificate.cer opensslではだいたいPEMで扱ってるので、DERが欲しいときはこんな感じでフォーマットを指定する
[OpenSSL] pem ファイルとは?SSL証明書の中身を確認する方法|てくめも@ecoop.net
iOS開発でのサーバ側 push通知設定や、WebサーバのSSL証明書設定に使われる .pem ファイルの中身を確認する時に便利なコマンドをまとめました。 pem ファイルとは? openssl コマンドのインストール方法 pem ファイルに含まれる証明書の確認方法 秘密鍵の内容を表示する pemファイルの作り方 (おまけ)csrの情報を出力する pemと同様に使われる.p12ファイルの確認方法は下の記事でまとめてます。 http://[IOS][OPENSSL] .P12キーストアファイル証明書の中身を確認する pemファイルは証明書とか鍵とか、サイトによってバラバラな書き方をされているので、何者かよくわからなくなります。 pem って証明書、鍵どっちなの?という疑問を持たれる方もいますが、pemファイルは鍵になることも証明書になること、両方になることも出来ます。 というのも、pemとは
![[OpenSSL] pem ファイルとは?SSL証明書の中身を確認する方法|てくめも@ecoop.net](https://cdn-ak-scissors.b.st-hatena.com/image/square/8d71ff5111e05619a10d29bb40d7aebaa75c8fbc/height=288;version=1;width=512/https%3A%2F%2Fs0.wp.com%2Fi%2Fblank.jpg)
『OpenSSLクックブック』提供開始のお知らせ
ご来店ありがとうございます。 本日より、『プロフェッショナルSSL/TLS』(2017年3月発行)からスピンオフしたミニブック『OpenSSLクックブック』の提供を開始しました。購入ページからカートに追加していただくことで、どなたでも無償でダウンロードが可能です(クレジットカード情報は不要ですが、直販サイトの購入フローを経由する関係で、お名前の欄と住所の欄への入力はお願いいたします)。 同書は『プロフェッショナルSSL/TLS』の原書である‟Bulletproof SSL and TLS”からOpenSSLに関する章を抜き出して再編された‟OpenSSL Cookbook”の翻訳に相当し、『プロフェッショナルSSL/TLS』の「第11章 OpenSSL」と「第12章 OpenSSLによるテスト」加え、SSL Labsで公開されている ‟SSL/TLS Deployment Best Pra
OpenSSL CCS Injection について - もろず blog
OpenSSL での脆弱性がまたニュースになっているようです。 今回検出されたCCS Injection は、 株式会社レピダムの菊池さんという方が検出しました。 4月に大問題になったHeartBleedを受けて、 独自に検証を進めたところ今回の脆弱性が検出できたそうです。 "またOpenSSLか!"みたいな記事を多く見ますし そういう空気になるのは分かりますが、 品質向上へのポジティブな取り組みの過程で検出されたものなので 悪いことではないんじゃないかと思っています。 今回検出されたCCS Injection は4月に大問題となった HeartBleed とは全く違う問題です。 どんな危険性があるのか、この記事を通して何となく感じとって頂ければと思います。 ※ちなみに、たまたま前回も OpenSSL の記事でしたが、決して OpenSSL を叩きたいわけではないので・・・。 今回は、 1
OpenSSLの脆弱性CCS Injection(CVE-2014-0224)の攻撃が行われる恐れがあるパターンをマトリックス化してみた。 - piyolog
lepidum社の菊池氏がOpenSSLの実装に脆弱性があることを発見しました。この脆弱性はChangeCipherSpecメッセージの処理に欠陥があるもので、悪用された場合に暗号通信の情報が漏えいする可能性があると同社公開情報では説明されています。 尚、6月6日にレピダム社がクライアントの偽装を行う攻撃が行われる恐れについて危険がないことが確認されたとして訂正を行いました。それに伴い以下の内容も修正を加えています。(修正前の記事は魚拓を参照してください。) lepidum社 公開情報 当社で発見し報告をしたOpenSSLの脆弱性(CVE-2014-0224 )が公開されました。早急な更新が望まれる内容だと考えています。 #ccsinjection #OpenSSL 概要はこちらのページをご参照下さい。http://t.co/bhY7GpLZ2j— lepidum (@lepidum) 2
「OpenSSL」における Change Cipher Spec メッセージ処理の脆弱性対策について(JVN#61247051):IPA 独立行政法人 情報処理推進機構
対象 サーバ側およびクライアント側で使用している「OpenSSL」のバージョンが以下の組み合わせの場合に、本脆弱性の影響を受けることが確認されています。 サーバ側: OpenSSL 1.0.1 系列のうち 1.0.1g およびそれ以前 クライアント側: OpenSSL 1.0.1 系列のうち 1.0.1g およびそれ以前 OpenSSL 1.0.0 系列のうち 1.0.0l およびそれ以前 OpenSSL 0.9.8 系列のうち 0.9.8y およびそれ以前 開発者が提供する情報をもとに最新版へアップデートしてください。 Q&A 通信経路上の攻撃者とは? 本脆弱性を悪用するためには、クライアントとサーバの間に入って通信を中継する必要があります。このようなシナリオでの攻撃を一般に中間者攻撃といい、このときの攻撃者を本稿では通信経路上の攻撃者と呼んでいます。一般に、通信経路上の攻撃者となること
OpenSSLの脆弱性(CVE-2014-0224)への対応方法(AWSサービス/OSごと) ※随時更新中 - サーバーワークスエンジニアブログ
大阪オフィスの桶谷です。こんにちは。 今週から大阪オフィスにも1人メンバーが増えました。祝ぼっち脱出。 さて、先日のHeartbleedに続いて、またしてもOpenSSLの脆弱性が発見されました。今回はCCS Injectionです。 ということで対応方法をまとめてみました。 ※最終更新 2014/06/11 1:00 CCS Injection脆弱性(CVE-2014-0224)の概要・対策・発見経緯について 株式会社レピダム さんの脆弱性発見ニュース http://lepidum.co.jp/news/2014-06-05/news-CCS-Injection/株式会社レピダム さんの脆弱性の概要説明 http://ccsinjection.lepidum.co.jp/ja.htmlOpenssl.org https://www.openssl.org/news/secadv_2014
OpenSSL #ccsinjection Vulnerability
[English] 最終更新日: Mon, 16 Jun 2014 18:21:23 +0900 CCS Injection Vulnerability 概要 OpenSSLのChangeCipherSpecメッセージの処理に欠陥が発見されました。 この脆弱性を悪用された場合、暗号通信の情報が漏えいする可能性があります。 サーバとクライアントの両方に影響があり、迅速な対応が求められます。 攻撃方法には充分な再現性があり、標的型攻撃等に利用される可能性は非常に高いと考えます。 対策 各ベンダから更新がリリースされると思われるので、それをインストールすることで対策できます。 (随時更新) Ubuntu Debian FreeBSD CentOS Red Hat 5 Red Hat 6 Amazon Linux AMI 原因 OpenSSLのChangeCipherSpecメッセージの処理に発見
OpenSSLのHeartbleedバグへの対処方法まとめ | 株式会社LIG(リグ)|DX支援・システム開発・Web制作
ライターの内藤です。サーバの管理もしていますが、もちろん普通のインターネットユーザでもあります。 ご周知の通り、4月初旬にOpenSSLの致命的なバグが発見され、XPの公式サポート終了と相まって、Webに携わる人たちは今もなお対応に追われているのではないでしょうか。 エンジニアだけでなく、一般インターネットユーザにも影響を及ぼす今回のバグ。だいぶ落ち着きを取り戻してきたと思ったら、19日に国内では初めてこのバグの影響による個人情報流出の可能性が発見されてしまいました。 参考:暗号化ソフト狙った攻撃で個人情報流出か NHKニュース http://www3.nhk.or.jp/news/html/20140419/k10013867171000.html 今回の騒動に乗じたフィッシング詐欺の可能性もあり、また、日本国内ではIT系メディア以外での告知が遅れたため、今更ではありますがおさらいしてお
OpenBSDがOpenSSLの大掃除に着手、「OpenOpenSSL」サイトも立ち上がる | スラド オープンソース
OpenBSDがOpenSSLの大掃除に着手しています(slashdot)。 たとえばlibssl/src/sslを見ると、CVSに罵倒と修正がひっきりなしに記録されています。 Heatbleed対策のパッチだけで満足しなかった理由は、彼らから見てHeartbleedが単なるバグや仕様の問題ではなく、セキュリティ意識の問題から産まれたものだからです。 何年も前から 「OpenSSL はサルが書いてるんだろう」と揶揄していたとおり、OpenSSL コードの品質が低いことをOpenBSD開発者たちは知っていましたが、それが意識や責任感の問題だという確信はまだなかったのかもしれません。 OpenBSD にはメモリ防護機構がありますので、Heartbleed脆弱性があっても当初、malloc.confにJオプションを付ければfree済みメモリはシュレッダーにかけられ秘密は漏れないだろうと思ったそう
OpenSSL の脆弱性に関する注意喚起
各位 JPCERT-AT-2014-0013 JPCERT/CC 2014-04-08(新規) 2014-04-11(更新) <<< JPCERT/CC Alert 2014-04-08 >>> OpenSSL の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140013.html I. 概要 OpenSSL Project が提供する OpenSSL の heartbeat 拡張には情報漏えいの 脆弱性があります。結果として、遠隔の第三者は、細工したパケットを送付す ることでシステムのメモリ内の情報を閲覧し、秘密鍵などの重要な情報を取得 する可能性があります。 管理するシステムにおいて該当するバージョンの OpenSSL を使用している場合 は、OpenSSL Project が提供する修正済みバージョンへアップデートすること をお勧めしま
OpenSSLの脆弱性で想定されるリスク - めもおきば
JVNやJPCERT/CCの記事があまりにもさらっと書かれていて、具体的なリスクが想像しづらいと思うので説明します。 今北産業 (今ニュース見て来たから三行で教えて欲しいという人向けのまとめ) インターネット上の「暗号化」に使われているOpenSSLというソフトウェアが2年間壊れていました。 このソフトウェアは便利なので、FacebookだとかYouTubeだとか、あちこちのウェブサイトで使っていました。 他の人の入力したIDとかパスワードとかクレカ番号とかを、悪い人が見ることができてしまいます。(実際に漏れてる例) 他にも色々漏れてますが、とりあえずエンジニア以外の人が覚えておくべきはここまででOKです。もう少し分かりやすい情報が以下にあります。 OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について まだ直っていないウェブサイトもあれば、元々壊れていないウェブ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
opensslコマンドの使い方 - Qiita
セキュリティ診断・検査のGMOサイバーセキュリティ byイエラエ
DeNA Engineering - DeNAエンジニアのポータルサイト
