OpenSSLの証明書絡みで、12月の半ばごろ、
ある会社にCSR作成の作業を依頼しました。
そして1か月ほど経った本日、依頼先から下記のメールが来ました。
メールには下記の文面とともに「csr1」というファイルが添付されており、
中身を確認したら突っ込みどころ満載でぶっとびました。
どう見てもCSRです。
本当にありがとうございました。
【技術力】OpenSSLを使ったCAの構築【爆発】
11
2006/01/16(月) 22:17:162メール本文
2006/01/16(月) 22:18:14 *****(会社名)鈴木(仮名)です
いつもお世話になります
CSR情報を送付いたします
リナックス用エディターで確認願います
いつもお世話になります
CSR情報を送付いたします
リナックス用エディターで確認願います
2006/01/16(月) 22:19:02
え、これで終わり!?
4添付ファイルの中身(1)
2006/01/16(月) 22:19:18 [root@www bin]# openssl md2 *>rand.dat
Read Error in X11
11232:error:0200B015:system library:fread:Is a directory:bss_file.c:167:
11232:error:20082002:BIO routines:FILE_READ:system lib:bss_file.c:168:
[root@www bin]# openssl md5 * > rand.dat
Read Error in X11
11233:error:0200B015:system library:fread:Is a directory:bss_file.c:167:
11233:error:20082002:BIO routines:FILE_READ:system lib:bss_file.c:168:
[root@www bin]# openssl genrsa -rand flora.dat -des3 1024>key.pem
-bash: 1024: 不正なファイル記述子です
[root@www bin]# openssl genrsa -rand flora.dat -des3 1024 > key.pem
0 semi-random bytes loaded
Generating RSA private key, 1024 bit long modulus
.....................++++++
...........++++++
e is 65537 (0x10001)
Enter pass phrase:
Verifying - Enter pass phrase:
[root@www bin]# openssl req -new -key key.pem -out csr.pem
Enter pass phrase for key.pem:
unable to load Private Key
11236:error:06065064:digital envelope routines:EVP_DecryptFinal:bad decrypt:evp_enc.c:438:
11236:error:0906A065:PEM routines:PEM_do_header:bad decrypt:pem_lib.c:421:
Read Error in X11
11232:error:0200B015:system library:fread:Is a directory:bss_file.c:167:
11232:error:20082002:BIO routines:FILE_READ:system lib:bss_file.c:168:
[root@www bin]# openssl md5 * > rand.dat
Read Error in X11
11233:error:0200B015:system library:fread:Is a directory:bss_file.c:167:
11233:error:20082002:BIO routines:FILE_READ:system lib:bss_file.c:168:
[root@www bin]# openssl genrsa -rand flora.dat -des3 1024>key.pem
-bash: 1024: 不正なファイル記述子です
[root@www bin]# openssl genrsa -rand flora.dat -des3 1024 > key.pem
0 semi-random bytes loaded
Generating RSA private key, 1024 bit long modulus
.....................++++++
...........++++++
e is 65537 (0x10001)
Enter pass phrase:
Verifying - Enter pass phrase:
[root@www bin]# openssl req -new -key key.pem -out csr.pem
Enter pass phrase for key.pem:
unable to load Private Key
11236:error:06065064:digital envelope routines:EVP_DecryptFinal:bad decrypt:evp_enc.c:438:
11236:error:0906A065:PEM routines:PEM_do_header:bad decrypt:pem_lib.c:421:
5添付ファイルの中身(2)
2006/01/16(月) 22:20:17 [root@www bin]# openssl req -new -key key.pem -out csr.pem
Enter pass phrase for key.pem:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:jp
State or Province Name (full name) [Berkshire]:tokyo
Locality Name (eg, city) [Newbury]:minatoku
Organization Name (eg, company) [My Company Ltd]:*****(伏せます)
Organizational Unit Name (eg, section) []:soumu service
Common Name (eg, your name or your server's hostname) []:*****(伏せます)
Email Address []:*****@*****.co.jp
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
[root@www bin]# gedit
[root@www bin]# gedit
Enter pass phrase for key.pem:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:jp
State or Province Name (full name) [Berkshire]:tokyo
Locality Name (eg, city) [Newbury]:minatoku
Organization Name (eg, company) [My Company Ltd]:*****(伏せます)
Organizational Unit Name (eg, section) []:soumu service
Common Name (eg, your name or your server's hostname) []:*****(伏せます)
Email Address []:*****@*****.co.jp
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
[root@www bin]# gedit
[root@www bin]# gedit
61
2006/01/16(月) 22:21:09 以上です。
2006/01/16(月) 22:28:22
了解しました。
では削除依頼のほど、よろしくお願いいたします。
では削除依頼のほど、よろしくお願いいたします。
2006/01/17(火) 21:39:55
でもワラタ
9名無しさん@お腹いっぱい。
2006/01/22(日) 09:03:04 でもワラタ
10名無しさん@お腹いっぱい。
2006/01/22(日) 15:00:08 わろた
2006/01/22(日) 15:53:44
World Wide Web の root 様だから仕方が無いな。
121
2006/01/23(月) 12:50:54 というわけで、どう見ても作業履歴ログでした。
後日談があります。間に入っている会社によれば、
この彼は、これを送る以前に同様なものの
「スクリーンショット版」
を送ってきたそうです。
後日談があります。間に入っている会社によれば、
この彼は、これを送る以前に同様なものの
「スクリーンショット版」
を送ってきたそうです。
13名無しさん@お腹いっぱい。
2006/03/07(火) 23:34:01 連鎖証明書がつくれなくて困ってます。
誰かたすけて。
誰かたすけて。
14名無しさん@お腹いっぱい。
2006/03/07(火) 23:58:23 keytoolとOpenSSL使いたいです。
@鍵作る
keytool -genkey -alias rsa -keystore KeyStore -keyalg RSA
A証明書要求書作る。
keytool -certreq -alias rsa -keystore KeyStore -file cert_req.csr
BCA作る。
./CA.pl -newca
CCSRを読み込んで、CA署名付き証明書発行
--ここで困ってます。
D連鎖証明書をインポート
keytool -import -alias rsa -keystore KeyStore -file ChainCert.cer
-----------------------------------------------------------------------
Cでのopensslを使用した手順を教えてください。
keytoolのマニュアルには、
連鎖証明書をimportするにはPKCS7でないとダメと書いてあるのですが。。
ttp://java.sun.com/j2se/1.4/ja/docs/ja/tooldocs/solaris/keytool.html
@鍵作る
keytool -genkey -alias rsa -keystore KeyStore -keyalg RSA
A証明書要求書作る。
keytool -certreq -alias rsa -keystore KeyStore -file cert_req.csr
BCA作る。
./CA.pl -newca
CCSRを読み込んで、CA署名付き証明書発行
--ここで困ってます。
D連鎖証明書をインポート
keytool -import -alias rsa -keystore KeyStore -file ChainCert.cer
-----------------------------------------------------------------------
Cでのopensslを使用した手順を教えてください。
keytoolのマニュアルには、
連鎖証明書をimportするにはPKCS7でないとダメと書いてあるのですが。。
ttp://java.sun.com/j2se/1.4/ja/docs/ja/tooldocs/solaris/keytool.html
15名無しさん@お腹いっぱい。
2006/05/29(月) 12:23:11 Fedora3でCAを立てようと
% CA -newca
とすると
openssl: error while loading shared libraries: libssl_gcc32.so.0: cannot open shared object file: No such file or directory
といわれました。
libssl_gcc32.so.0をlocateで探しましたがどこにもありません。
RPM Searchでlibssl_gcc32.so.0を含むパッケージを探しましたが出てこず。
どうすればいいのでしょうか?
% CA -newca
とすると
openssl: error while loading shared libraries: libssl_gcc32.so.0: cannot open shared object file: No such file or directory
といわれました。
libssl_gcc32.so.0をlocateで探しましたがどこにもありません。
RPM Searchでlibssl_gcc32.so.0を含むパッケージを探しましたが出てこず。
どうすればいいのでしょうか?
2006/05/29(月) 13:23:49
>>15ここの板の名前を100回唱えてから、顔洗って出直して来い
2006/07/24(月) 18:33:02
どこで聞いたらいいかわからないので、
こちらに来ました。
opensslで鍵を作るだけの簡単なプログラミング
をc言語でするときなんですが、
・ヘッダーにincludeして関数を呼び出して鍵を作る方法
・シェルプログラミングみたいにコマンドラインを利用する方法
この2つがあるって言うことでよかったですか?
コマンドラインから手で入力して、
CAを構築したりしたんですが、
上記のような鍵を作るだけなど簡単なことでも新しくopensslのAPIの
関数の使い方も勉強しなければいけないのかなぁと思いまして。
プログラミング事態初心者なんですが、
よろしくお願いします。
こちらに来ました。
opensslで鍵を作るだけの簡単なプログラミング
をc言語でするときなんですが、
・ヘッダーにincludeして関数を呼び出して鍵を作る方法
・シェルプログラミングみたいにコマンドラインを利用する方法
この2つがあるって言うことでよかったですか?
コマンドラインから手で入力して、
CAを構築したりしたんですが、
上記のような鍵を作るだけなど簡単なことでも新しくopensslのAPIの
関数の使い方も勉強しなければいけないのかなぁと思いまして。
プログラミング事態初心者なんですが、
よろしくお願いします。
2006/07/24(月) 19:53:15
Cなんか使わずに後者をシェルスクリプトで書けばいいんじゃないの?
Cを使うという要件の理由は何?
Cを使うという要件の理由は何?
2006/07/25(火) 07:44:43
>>18
c言語でネットワークプログラミングの
基本的なことを勉強し終わって、
sslのサイトや本見ながら、
使い方を勉強しているところです。
openssl、シェル、いろんな知識が不足していて、
手がかりを探していました。
昨日c言語でopensslのAPIの使い方がちょっと書いてある
本を見つけたので、その本読んで勉強してみます。
シェルスクリプトでも大丈夫っていうアドバイスも
すごい助かりました。シェルスクリプトで
opensslが使えるかどうかもわからないレベルなので
シェルスクリプトについても勉強してみます。
ありがとうございました。
c言語でネットワークプログラミングの
基本的なことを勉強し終わって、
sslのサイトや本見ながら、
使い方を勉強しているところです。
openssl、シェル、いろんな知識が不足していて、
手がかりを探していました。
昨日c言語でopensslのAPIの使い方がちょっと書いてある
本を見つけたので、その本読んで勉強してみます。
シェルスクリプトでも大丈夫っていうアドバイスも
すごい助かりました。シェルスクリプトで
opensslが使えるかどうかもわからないレベルなので
シェルスクリプトについても勉強してみます。
ありがとうございました。
20名無しさん@お腹いっぱい。
2007/06/02(土) 21:30:30 質問です。
SubjectDirectoryattributeに値を入れたCSRを発行したいのですが
どうすればいいのでしょうか?
Verは0.98eです。
SubjectDirectoryattributeに値を入れたCSRを発行したいのですが
どうすればいいのでしょうか?
Verは0.98eです。
2007/06/03(日) 11:14:04
おい、おれはwebprog板のphpのくだらねぇ質問スレの住民だけどよお
opensslの解説サイトがあったら教えろよ
opensslの解説サイトがあったら教えろよ
2007/06/03(日) 13:37:20
opensslに解説なんか必要なもんない
これみんなでやりませんか?
ちょっとした起爆剤になれば
もっと盛り上がると思いますよ
ブラウザから確認するためにもPHPでやりましょう。
講師もやりますよ。hatenaで聞いてきましょうか?
ちょっとした起爆剤になれば
もっと盛り上がると思いますよ
ブラウザから確認するためにもPHPでやりましょう。
講師もやりますよ。hatenaで聞いてきましょうか?
2007/07/05(木) 08:05:37
OpenSSL ってビルドに perl がいるんだね・・・・
Makefile 作るために perl がいるってことか?
Makefile 作るために perl がいるってことか?
2008/03/25(火) 02:33:56
ネト記事ごときに執拗に突っ込んでる痛い奴見つけたんでとりあえずここに貼っとく。
http://www.unixuser.org/%7Eharuyama/security/openssh/20071228.html
http://www.unixuser.org/%7Eharuyama/security/openssh/20071228.html
2008/03/25(火) 10:51:10
雑誌が減ってネット上の記事が頼りにされるようになってる時代だというのになー
2008/03/25(火) 15:46:16
ネット上の記事の重要度が上がってるなら、放置しないで突っ込むべきでは?
28名無しさん@お腹いっぱい。
2008/07/09(水) 03:06:33 自己署名CAたてたんだが、いまいちうまくいかんがな。むずい
29名無しさん@お腹いっぱい。
2008/07/14(月) 09:29:11 ここってCAの構築限定?
openssl ライブラリがらみ全般の話題ってどのスレいけばいいっすか?
質問)
openssl の rsa サブコマンドを使うとあらかじめ用意した公開鍵で
暗号化できますが、複数の公開鍵を用意してどれに対応する秘密鍵でも
復号できるようにはできないものでしょうか?
そもそも openssl の rsa サブコマンドでやるべきじゃなくて、
libopenssl を使ってツール作るべきなんでしょうか?
rsa サブコマンドでの暗号化の際にはたぶん何らかの共有鍵が
生成されていてそれを与えた公開鍵で暗号化しているのだと思うので、
複数の公開鍵を与えられればいいなぁと思ったのです。
利用例)
たとえば自分が死んだときでもあるファイル群は
嫁さん(が脳外にいたとして)が復号できるようにしておきたいとか。
openssl ライブラリがらみ全般の話題ってどのスレいけばいいっすか?
質問)
openssl の rsa サブコマンドを使うとあらかじめ用意した公開鍵で
暗号化できますが、複数の公開鍵を用意してどれに対応する秘密鍵でも
復号できるようにはできないものでしょうか?
そもそも openssl の rsa サブコマンドでやるべきじゃなくて、
libopenssl を使ってツール作るべきなんでしょうか?
rsa サブコマンドでの暗号化の際にはたぶん何らかの共有鍵が
生成されていてそれを与えた公開鍵で暗号化しているのだと思うので、
複数の公開鍵を与えられればいいなぁと思ったのです。
利用例)
たとえば自分が死んだときでもあるファイル群は
嫁さん(が脳外にいたとして)が復号できるようにしておきたいとか。
レスを投稿する
ニュース
- ■緊急地震速報 熊本など [人気者★]
- 【足立区ひき逃げ事故】意識不明の20代女性が死亡 死者2人に [Ailuropoda melanoleuca★]
- 相次ぐ中国公演中止に、シンガーソングライターらが続々高市首相に怒り表明「隣国の仲間たちに対して申し訳ない」 [muffin★]
- 性売買「買う側」処罰化と同時に「売る側は処罰せず、支援の対象に」Colabo主催の集会にて [パンナ・コッタ★]
- 🇺🇸🇨🇳米中関係は「極めて強固」とトランプ氏… ★8 [BFU★]
- とろサーモン・久保田「後輩や演者からも評判が悪すぎる」大物MCに意見 「世間が思ってる人間とは真逆」と思い爆発 [muffin★]
- 【モンスト】モンスターストライク総合11/25【クソ浪人立てる時コマンドの補充をしろ🏡】
- カゴメ、トマトジュースや野菜生活100など値上げ。5.9%~19.1% [268244553]
- しじみ [546716239]
- 大地震 [904880432]
- 【安倍晋三】山上徹也は暴力を使った。お前らはそれを認め許すの? [201193242]
- 高市早苗さん、トランプにガチで怒られた模様🥺 [931948549]