1. tmiki

    No comment

    tmiki
Changes in tags
Changes in body
Source | HTML | Preview
@@ -1,25 +1,25 @@
# 概要
## 前提条件
- SSLサーバ証明書の発行にあたり、必要なコマンドをまとめます。
- 要所で確認を行うためのコマンドをまとめます。
-- SSLサーバ証明書は外部のCA局発行してもらうこととします。自己署名証明書(≒オレオレ証明書)は発行しません。
+- SSLサーバ証明書は外部のCA局(Certificate Authority)で発行してもらうこととします。自己署名証明書(≒オレオレ証明書)は利用しません。
- 「SSLサーバ証明書」という語で、Internet上で公開するWebサーバにインストールするX.509準拠の証明書、を指すこととします。プロトコルとしてのSSLは既に利用されていませんが、慣習上からこう呼ぶことにします。
- 「SSLサーバ証明書」を、単に「証明書」と記述することもあります。
## 重要な知識
-- CSRは大きく二つの要素、「サーバの公開鍵」及び「サーバ運営者の情報」で構成されています。
+- CSR(Certificate Signing Request)は大きく二つの要素、「サーバの公開鍵」及び「サーバ運営者の情報」で構成されています。
- SSLサーバ証明書とは、CSRに対してCA局の電子署名を付与したものとなります。
- 原則、CA局の秘密鍵が分からない限り、SSLサーバ証明書の内容を改ざんすることは出来ません。
- 鍵ペアという観点から見ると、秘密鍵は秘密鍵ファイルに、公開鍵はCSRファイル/証明書ファイルに記録されます。
- ファイルに保存する際の形式・拡張子については下記記事がとても参考になります。この内容は必ず押さえておきましょう。
- http://qiita.com/kunichiko/items/12cbccaadcbf41c72735
## 想定するフロー
-下記のフローに準拠した形で、OpenSSLの各コマンドを記述します。
+下記のフローに則る形で、OpenSSLの各コマンドを記述します。
-1. 鍵ペアとCSR(Certificate Signing Request)を作成します。
+1. 鍵ペアとCSRを作成します。
2. CSRの内容を確認します。
3. 鍵の対称性を確認します。
4. 秘密鍵が破損していないことを確認します。
5. CA局に発行してもらったSSLサーバ証明書の内容を確認します。
@@ -81,5 +81,16 @@
## SSL証明書内容確認
```
$ openssl x509 -in cert_filename.pem -text -noout
```
+これもCSRと同様、まずは下記の項目を確認します。
+これはクライアントとなるWebブラウザにて、アクセスしたドメイン名と一致しているかどうかの確認に利用されます。
+
+- Subject: CN=example.com
+- X509v3 extensions: X509v3 Subject Alternative Name: DNS:example.com
+
+
+Subjectは基本的にはWebサーバの運営者情報となります。
+これはアクセスしたユーザ(=人間)が必要に応じて参照し、信頼できる組織がWebサーバを運営しているかどうかを判断するための情報となります。
+EV SSL証明書の場合、アドレスバーの横に運営組織名が表示されますが、これは「O」の内容が利用されます。
+- Subject: C=JP, ST=Tokyo, L=Taito-ku, OU=Business Innovation Center, O=Tech Fun corp., CN=example.com