前回は、openssl コマンドの -CAfile オプションでCA証明書を指定してみました。 しかし、この方法だと検証したいサーバ証明書がどの認証機関で署名されているのかをあらかじめ知っておかないといけません。「うちはぜ〜んぶべり☆☆☆だもん」みたいな運用ならばさほど困らないかもしれませんが、サービスによって利用している認証機関が異なっていたり、独自に組織別CAを構築して運用しているような場合は少々面倒です。やはりCA証明書は勝手に選択して欲しいものです。 特に弊社のDSASでは、様々なコンテンツが同じシステムに同居しているため、どのサイトがどの認証機関を使っているかを全て把握することは至難の業だったりします。 -CApath というオプションがあります。 使い方は -CAfile と同様で $ openssl s_client -connect localhost:4433 -CApa
先日の投稿で、 openssl s_client コマンドを使って軽く通信試験をしてみました。 実際にやってみた方はお気づきかもしれませんが、あのコマンドだと以下のようなエラーがでます。 $ openssl s_client -connect localhost:4433 CONNECTED(00000003) depth=0 (subject) verify error:num=20:unable to get local issuer certificate verify return:1 depth=0 (subject) verify error:num=27:certificate not trusted verify return:1 depth=0 (subject) verify error:num=21:unable to verify the first certifi
TWSNMPマネージャ 復刻版をリリースしました。 実行ファイルのダウンロードはこちらです。 オンラインマニュアルはこちらです。 ソースコードはこちらです。 開発日誌はこちらのnoteです。 BUGの報告はメールで受付ます。
OpenSSL パッケージの脆弱性とその影響について (SSH鍵、SSL証明書等) 残念な事に Debian の OpenSSL パッケージに脆弱性が見つかりました。見つかった問題は既に修正されていますが、 今回の問題はパッケージの更新だけで済ませられないものとなっています。 今回の問題は、OpenSSL の乱数生成部分について、Debian の OpenSSL パッケージのメンテナが Valgrind (C/C++ プログラムでのメモリリークなどの問題を見つけるデバッグツール) を使っていて見つけた問題を修正しようとして誤ったパッチを当ててしまった事が原因です。 これによって、乱数が使われずに暗号が非常に弱いものとなってしまう問題が発生しました。 なお、この問題は Debian だけに止まらず Debian をベースとしているディストリビューション (Ubuntu など)やシステムにも影
stone の SSL 暗号化/復号の機能は、 おかげさまで沢山の方々に使って頂いている。 任意の TCP/IP 接続を手軽に SSL 化できるので、 SSL 化のためだけに stone を使っている、というかたも多そうだ。 例えば 25番ポートで接続を受付ける SMTP サーバがある場合、 stone -z key=key.pem -z cert=cert.pem localhost:25 465/ssl などと実行するだけで、 SSL 化した SMTP を 465番ポートで受付けることができるようになる。 ここで、「key.pem」および「cert.pem」は、 それぞれ秘密鍵と公開鍵のファイルであり、 OpenSSL のコマンドを使って作ることができる (日経Linux に以前私が書いた連載記事の 「第 6 回 stone (後編) 公開かぎと秘密かぎ」でも作り方を説明した)。 SS
opensslコマンドtips 元は、AirOneのセキュリティ関連のファイルの説明文書です。 opensslコマンドのtips文書として使えるので、いくつか追記して、公開します。 * PKI関連 ========= ** identity.pem(秘密鍵ファイル) ** cert.pem(証明書ファイル) AirOneの起動時にidentity.pemとcert.pemの整合性チェックを行います(airu_cert_validate())。 チェック項目、エラーコード、解析方法を説明します。 チェック項目 ------------ 1. cert.pemがx509のフォーマットか? エラーコード: #0301005 解析方法: openssl x509 -text -in cert.pem でエラーがでないこと。 2. identity.pemが入力パスワードで読めるか? エラーコード:
サーバの管理なんぞしていると、「SSLのサイト作りたいからこの証明書を設置して欲しい」などと言われることは日常茶飯事・・・とまではいきませんが普通にあることだと思います。 でも、せっかく安全に気を配ってサーバに転送して設置して設定しても、「実はもらったファイルは違う鍵ファイルだった」なんて事はありませんか? まあ・・・実際あんまりないんですけど、そんな事があったら気が滅入って寝込んでしまいそうになるので、実環境へ持って行く前に軽く動作チェックをするようにしています。 mod_ssl いれてブラウザでアクセス・・・でもいいんですが、それだと気が短い人には耐えられないので、以下のようなコマンドを叩きます。 $ openssl s_server -cert [ファイル名] -key [秘密鍵ファイル名] Using default temp DH parameters ACCEPT こうなれば成
■OpenSSLのインストール OpenSSLはデフォルトでは、/usr/local/ssl にインストールされます。デフォルトのインストール先を変更する場合は、--openssldir で指定します。ここでは、オプションを指定せずにインストールを行います。 $ cd /usr/local/src $ tar xzvf openssl-0.9.7c.tar.gz $ cd openssl-0.9.7c.tar.gz $ ./config $ make $ make test $ su # make install
[ 自宅サーバーWebRing ┃前 |ID=72 前 後5表示 |次 ┃乱 移動 |サ イト一覧 ] パ ソコンおやじのHPは、Linux(SuSE9.3)/ Athlon64サーバ/Bフレッツマンションタイプ(VDSL方式)で運用しています。 サーバ初心者のおやじが、無謀にもLinuxに挑戦しました。現在、試行錯誤の末、WWW/メール/FTP/DNS/Proxy サーバが稼働中です。SMTP Authentication、POP/SSL等、セキュリティを考慮したシステムを目指しています。 ■FileZilla Server0.9.44の日本語化パッチをダウンロードに 追加しました。(2014.05.04) ■FileZilla Server0.9.43の日本語化パッチをダウンロードに 追加しました。(2014.01.04) ■FileZilla Server0.9.42の日本語化パッチ
Window用にSSL用証明書の作成方法を見直しましたので、Linuxでも同様に見直しました。ここで、作成した証明書は、ApacheやPostfix、Courier-IMAP等のメールシステム、ProFTPD等で使用できますが、具体的な使用方法はそれぞれのコンテンツを参照してください。なお、クライアントへのインストール方法は、こちらのコンテンツを参照してください。 なお、RedHat系の場合は、openssl-perlがインストールされていないとスクリプトが使用できないので、予め確認して必要ならインストールしてください。SuSEは、opensslがインストールされていればスクリプトもあわせてインストールされています。 SuSE9.3やCentOS4.xの場合、スクリプトが /usr/share/ssl/misc/CA.pl というようにPATHが通っていないところにインストールされます。本
SSLアクセス時の警告対策として、ブラウザにプライベートCAの証明書をインストールします。対策方法はInternet ExplorerとNetscape Navigatorで異なり、Netscape Navigatorはいたって簡単で、警告画面から証明書をインポートするだけです。 ◆Internet Explorerの設定 Internet Explorer 6の場合、証明機関が登録されていないため、下記のような警告がでます。 「証明書の表示」からたどると、証明書をインストールできるように見えますが、Intenet Explorerでは、この方法では警告画面から証明書をインポートできません。こちら(Windows編・Linux編)を参考にして、CA証明書をブラウザにインポートするためのderファイルを作成します。 家庭内では、このca.derファイルをフロッピーにコピーしてクライアントにイ
ここでは、通信の暗号化が目的なので自分がCAになって自己認証でサーバ証明書を作成しています。基本的な手順は、Apacheのマニュアルに従っています。 前準備として、サーバ証明書作成の最終段階でmod_ssl付属のsign.shコマンドを使用しますので、こちらからmod_sslの最新版をダウンロードし、任意の場所に展開だけしておきます。おやじがダウンロードしたのは、mod_ssl-2.8.11-1.3.27.tar.gzです。展開後、pkg.contrib配下にsign.shがあることを確認しておきます。 また、以降はopensslのコマンドを使って、鍵や証明書を所定の場所(ここでは、/usr/local/certs)に作成していきますので、opensslへのパスが通っていることが前提になりますが、RedHatなら問題ありません。鍵や証明書を作成するディレクトリを作成し、移動します。
おやじのBBSでbonduさんから中間CA証明書の作成方法に関するIBMのサイトの情報いただいたので、それを参考に中 間CA証明書の作成方法について整理してみました。中間CA証明書を作成する部分以外は、こちらのSSL用証明書の作成方法と同じです。 基本的な手順は以下のとおりです。 プライベートのルートCAを作成する。 中間CA証明書作成用リクエストファイルを作成する。 ルート認証局の証明書とキーを使って、リクエストファイルから中間CAの証明書の作成と署名を行う。 サーバ証明書を作成するため、中間CAで署名するための環境を作成する。 サーバ証明書作成用リクエストファイルを作成する。 中間CAの証明書とキーを使って、リクエストファイルからサーバ証明書の作成と署名を行う。
おやじのBBSでbonduさんから中間CA証明書の作成方法に関するIBMのサイトの情報いただいたので、それを参考に中 間CA証明書の作成方法について整理してみました。中間CA証明書を作成する部分以外は、こちらのSSL用証明書の作成方法と同じです。 基本的な手順は以下のとおりです。 プライベートのルートCAを作成する。 中間CA証明書作成用リクエストファイルを作成する。 ルートCAの証明書とキーを使って、リクエストファイルから中間CAの証明書の作成と署名を行う。 サーバ証明書を作成するため、中間CAで署名するための環境を作成する。 サーバ証明書作成用リクエストファイルを作成する。 中間CAの証明書とキーを使って、リクエストファイルからサーバ証明書の作成と署名を行う。
2005/10/02更新 高木浩光@自宅の日記を拝見するにつけ、PKI としての SSL が 中途半端な理解により台無しにされている場面が多いように思えます。そこで(セキュリティの専門家ではないものの)私が理解している範囲で自分なりに入門解説を書いてみました。 ちなみに、SSL v3 に少しの改良を加えたものが TLS v1.0 ですが、技術的な細かい点を気にしない 場合は、SSLと総称されています。 ここでも、そんな細かいことは気にしていないので SSL と総称しています。 SSLしくみ解説 まず、SSLを理解するために必要な用語を解説し、次に SSLが PKI としてどのような構成要素で安全な通信路を形成しているか解説します。 暗号化と復号化 コンピューターで暗号化というと、暗号化する前のデータ (以下、「平文(ひらぶん)」と呼びます)と鍵となるデータ(以下「鍵」と呼びます) を使って
以下に、直接OpenSSLのコマンドを使って、独自CAを作成する方法を説明します。 独自CAの作成 本来、セキュアなWebサーバを運用するためには、認証局から、署名付きの証明書を発行してもらう必要があります。 認証局とは、CA(Certification Authority)とも呼び、証明書を発行する第三者機関のことです。 認証局を利用しないで、独自でCAの証明書を発行し、認証することもできます。 以下に、独自CAの作成方法について説明します。 ランダム情報ファイルの作成 opensslのメッセージダイジェスト機能(md5)を使って、ランダム情報ファイルを作成します。 ランダム情報ファイルは、rand.datという名前で作成します。
OpenSSLを利用した、自己認証局(CA)の構築と、サーバ証明書の作成手順とApache+mod_SSLでの設定方法についてもご紹介します。 Section.1では、通常のhttps通信を可能とするため、以下の手順を行います。 1.自己認証局(CA)の構築 2.サーバの証明書の作成 3.自己認証局によるサーバ証明書への署名 4.Apache+mod_sslの設定例 Section.2では、Section.1に加えてクライアント認証に利用する証明書の発行方法とApacheの設定例を示します。 1.クライアント認証用証明書の作成 2.Apache+mod_sslでの設定例 最初に、自己認証局(以下CA)の構築を行います。なお、CAの構築は/usr/local/CAに行います。 CAを作成するには、OpenSSL付属のCA.shを利用します。 (CA.shは、OpenSS
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く