openssl コマンドでのSSL証明書の検証
CA証明書の検証にはサーバにルート証明書をインストール必要がある
-
- 目的
ベリサインのテストSSL証明書を用いてSSL設定をするにあたり、
秘密鍵、CSR、サーバ証明書、中間CA証明書がそれぞれ整合性が取れているかの検証をする
#秘密鍵、CSR、サーバ証明書は各々のhash値を比較し、同一ならOK openssl rsa -in 秘密鍵 -modulus -noout | openssl md5 openssl req -in CSR -modulus -noout | openssl md5 openssl x509 -in サーバ証明書 -modulus -noout | openssl md5
#サーバ証明書、中間CA証明書の検証 openssl verify -CAfile 中間CA証明書 サーバ証明書 ⇒cert_file:OK
/etc/pki/tls/certs/ 配下の ca-bundle.crtやca-bundle.trust.crt に記述されていない
ルート証明書を用いて検証する場合、サーバにルート証明書のインストールが必要。
少なくともベリサインのテスト用のルート証明書は含まれていなかったはず。
#ルート証明書のインストール #/etc/pki/tls/certs/ にルート証明書を配置して、下記コマンド実施 cd /etc/pki/tls/certs/ ln -s ルート証明書 `openssl x509 -hash -noout -in ルート証明書`.0
-
- クロスルート証明書の対応
ベリサインのクロスルート中間CA証明書を使用する場合、
3階層、2階層の鍵をテキストで一つのファイルにまとめたものを中間CA証明書とする
-
- 別途ブラウザにもルート証明書をインストールする必要がある