読者です 読者をやめる 読者になる 読者になる

うまいぼうぶろぐ

linuxとhttpdとperlのメモ

環境変数SSLEAY_CONFIGでopenssl.cnfのファイルを指定する

opensslでprivate CAを作るとRHELの場合は/etc/pki/CA/ (openssl.cnfは/etc/pki/tls/openssl.cnf)が自動的に指定されるので、rootじゃないと証明書を作成できない。一般ユーザで場所を指定したい場合はどうしたらいい?と思ってopenssl ca help をみると" -c…

クライアント証明書発行(作成・署名)時のパスワードをターミナルから入力する

/etc/pki/tls/misc/CA -newreq だとパスワードを聞かれるので 内部で実行されている openssl reqを直接実行して、標準入力から読み込むようにする。スクリプトにがっつりパスワードを書いていて無条件に署名するので 本番運用するCAの場合は取り扱い注意。や…

opensslとcurlでクライアント証明書を使ってHTTPS接続する

1年ぶりにやったらど忘れしてる。 クライアント証明書発行 事前にプライベートCA作っておくこと 詳細は省略 /etc/pki/tls/misc/CA -newca クライアント証明書用 秘密鍵、CSR作成 /etc/pki/tls/misc/CA -newreq上で作ったファイルがあるディレクトリでCAで署…

openssl クライアント証明書の確認

### クライアント証明書つかって接続 openssl s_client -connect host:port -cert cert.pem -key key.pem ### CAとクライアントの証明書があっているか openssl verify -purpose sslclient -CAfile cacert.pem clientcert.pem## 追記 curl の-E file.p12:pas…

SSLの証明書期限をCLIで確認する

SSLなんだからopenssl使えばわかるよねっていう。 openssl $ openssl s_client -connect ssl.example.com:443 2>&1 < /dev/null | openssl x509 -enddate | grep ^notAfter notAfter=Oct 1 23:59:59 2011 GMTopensslで接続しにいくので、remote host の状態…

apache2のstartsslを自動化する

サービス用のサーバはともかく、ローカルでやってる試験用のサーバなら自動化していいかなぁと。実はすごいダメなことだったらどうしよう。まいいや。やり方は2通り。ちょいちょい用語間違ってる可能性大。 サーバの秘密鍵を復号する encryptedkey.pem # 元…

opensslでパスフレーズ変更する方法memo

元のinfileが暗号化されてるとする。 openssl rsa -in infile -out outfile -ENCTYPEENCTYPEは暗号方式(des、des3、aes128など)。これを指定しなかったらパスフレーズ変更じゃなくて、ファイルを復号する。