$ openssl x509 -noout -modulus -in example.com.crt | openssl md5 $ openssl rsa -noout -modulus -in example.com.key | openssl md5これが一致すればOK# 追記openssl md5 は標準入力をmd5で出力してるだけなので、openssl md5 じゃなくて、 md5sum (mac…

opensslでprivate CAを作るとRHELの場合は/etc/pki/CA/ (openssl.cnfは/etc/pki/tls/openssl.cnf)が自動的に指定されるので、rootじゃないと証明書を作成できない。一般ユーザで場所を指定したい場合はどうしたらいい？と思ってopenssl ca help をみると" -c…

/etc/pki/tls/misc/CA -newreq だとパスワードを聞かれるので 内部で実行されている openssl reqを直接実行して、標準入力から読み込むようにする。スクリプトにがっつりパスワードを書いていて無条件に署名するので 本番運用するCAの場合は取り扱い注意。や…

1年ぶりにやったらど忘れしてる。 クライアント証明書発行 事前にプライベートCA作っておくこと 詳細は省略 /etc/pki/tls/misc/CA -newca クライアント証明書用 秘密鍵、CSR作成 /etc/pki/tls/misc/CA -newreq上で作ったファイルがあるディレクトリでCAで署…

### クライアント証明書つかって接続 openssl s_client -connect host:port -cert cert.pem -key key.pem ### CAとクライアントの証明書があっているか openssl verify -purpose sslclient -CAfile cacert.pem clientcert.pem## 追記 curl の-E file.p12:pas…

SSLなんだからopenssl使えばわかるよねっていう。 openssl $ openssl s_client -connect ssl.example.com:443 2>&1 < /dev/null | openssl x509 -enddate | grep ^notAfter notAfter=Oct 1 23:59:59 2011 GMTopensslで接続しにいくので、remote host の状態…

サービス用のサーバはともかく、ローカルでやってる試験用のサーバなら自動化していいかなぁと。実はすごいダメなことだったらどうしよう。まいいや。やり方は2通り。ちょいちょい用語間違ってる可能性大。 サーバの秘密鍵を復号する encryptedkey.pem # 元…

元のinfileが暗号化されてるとする。 openssl rsa -in infile -out outfile -ENCTYPEENCTYPEは暗号方式(des、des3、aes128など)。これを指定しなかったらパスフレーズ変更じゃなくて、ファイルを復号する。