ツール‎ > ‎

OpenSSL (frozen)

バージョンの確認:

$ openssl version -a

RSA 秘密鍵の中身の確認

$ openssl rsa -text -in id_rsa

$ sudo openssl rsa -text -in /etc/pki/CA/private/cakey.pem # RSA CA 秘密鍵確認
$ sudo openssl x509 -text -in /etc/pki/CA/cacert.pem # x509 CA 証明書確認 in per

クライアントに食わす用の CA 証明書は PER → DER 変換してから置く。

$ sudo openssl x509 -inform PEM -in /etc/pki/CA/cacert.pem -outform DER -out /etc/pki/CA/cacert.der

サーバ証明書 CSR:

$ openssl req -new -keyout key.pem -out csr.pem
$ openssl rsa -in key.pem -text # RSA サーバ秘密鍵確認
$ openssl req -in csr.pem -text # CSR 確認

右記サイトの後、改善されたげ "openssl req -new -keyout newkey.pem -out newreq.pem"。「補足: "CA.sh -newreq"とコマンド実行するとnewreq.pemというファイルができ、 private keyまでこのファイルに入ってしまいます。秘密鍵は別ファイルにしたいので、上記のコマンドのほうがよいと思います.」 // 証明書要求(CSR)の作成詳細 http://www.fc-lab.com/network/server/pki/csr.html

CA.sh は、大したことはしていないな:

-sign|-signreq)
    $CA -policy policy_anything -out newcert.pem -infiles newreq.pem
    RET=$?
    cat newcert.pem
    echo "Signed certificate is in newcert.pem"
    ;;

じゃ、手作業で:

$ sudo openssl ca -policy policy_anything -in csr.pem -out server.crt

# CONFIG(5) が OpenSSL で、CONVERT(1) が ImageMagick とか、ネーミングが横暴よね。COMPARE(1), IMPORT(1), DISPLAY(1) 等も。もう少し謙虚に、プレフィクスとか付けなさい。

後はこれにならうか… || Apache + OpenSSL CSR生成手順 (新規)|CSRの生成|日本ベリサイン https://www.verisign.co.jp/ssl/help/csr/capache_new.html

今どきの RSA キーは、最低でも 1024bit、新規に作るならば 2048bit を推奨するようだ。最近の OpenSSH で作る RSA キーも、デフォルトで 2048bit キー長になる。

「Shamirは、RSA問題を解くための専用装置 (TWIRL) を作成すれば、1024ビットの n に関するRSA問題ですら解くことができると主張している」 ∥ RSA暗号 - Wikipedia

Comments