バージョンの確認: $ openssl version -a RSA 秘密鍵の中身の確認 $ openssl rsa -text -in id_rsa $ sudo openssl rsa -text -in /etc/pki/CA/private/cakey.pem # RSA CA 秘密鍵確認 $ sudo openssl x509 -text -in /etc/pki/CA/cacert.pem # x509 CA 証明書確認 in per クライアントに食わす用の CA 証明書は PER → DER 変換してから置く。 $ sudo openssl x509 -inform PEM -in /etc/pki/CA/cacert.pem -outform DER -out /etc/pki/CA/cacert.der サーバ証明書 CSR: $ openssl req -new -keyout key.pem -out csr.pem $ openssl rsa -in key.pem -text # RSA サーバ秘密鍵確認 $ openssl req -in csr.pem -text # CSR 確認 右記サイトの後、改善されたげ "openssl req -new -keyout newkey.pem -out newreq.pem"。「補足: "CA.sh -newreq"とコマンド実行するとnewreq.pemというファイルができ、 private keyまでこのファイルに入ってしまいます。秘密鍵は別ファイルにしたいので、上記のコマンドのほうがよいと思います.」 // 証明書要求(CSR)の作成詳細 http://www.fc-lab.com/network/server/pki/csr.html CA.sh は、大したことはしていないな: -sign|-signreq) $CA -policy policy_anything -out newcert.pem -infiles newreq.pem RET=$? cat newcert.pem echo "Signed certificate is in newcert.pem" ;; じゃ、手作業で: $ sudo openssl ca -policy policy_anything -in csr.pem -out server.crt # CONFIG(5) が OpenSSL で、CONVERT(1) が ImageMagick とか、ネーミングが横暴よね。COMPARE(1), IMPORT(1), DISPLAY(1) 等も。もう少し謙虚に、プレフィクスとか付けなさい。 後はこれにならうか… || Apache + OpenSSL CSR生成手順 (新規)|CSRの生成|日本ベリサイン https://www.verisign.co.jp/ssl/help/csr/capache_new.html 今どきの RSA キーは、最低でも 1024bit、新規に作るならば 2048bit を推奨するようだ。最近の OpenSSH で作る RSA キーも、デフォルトで 2048bit キー長になる。 「Shamirは、RSA問題を解くための専用装置 (TWIRL) を作成すれば、1024ビットの n に関するRSA問題ですら解くことができると主張している」 ∥ RSA暗号 - Wikipedia |
ツール >