OpenSSLの証明書絡みで、12月の半ばごろ、
ある会社にCSR作成の作業を依頼しました。
そして1か月ほど経った本日、依頼先から下記のメールが来ました。
メールには下記の文面とともに「csr1」というファイルが添付されており、
中身を確認したら突っ込みどころ満載でぶっとびました。
どう見てもCSRです。
本当にありがとうございました。
【技術力】OpenSSLを使ったCAの構築【爆発】
11
2006/01/16(月) 22:17:162メール本文
2006/01/16(月) 22:18:14 *****(会社名)鈴木(仮名)です
いつもお世話になります
CSR情報を送付いたします
リナックス用エディターで確認願います
いつもお世話になります
CSR情報を送付いたします
リナックス用エディターで確認願います
2006/01/16(月) 22:19:02
え、これで終わり!?
4添付ファイルの中身(1)
2006/01/16(月) 22:19:18 [root@www bin]# openssl md2 *>rand.dat
Read Error in X11
11232:error:0200B015:system library:fread:Is a directory:bss_file.c:167:
11232:error:20082002:BIO routines:FILE_READ:system lib:bss_file.c:168:
[root@www bin]# openssl md5 * > rand.dat
Read Error in X11
11233:error:0200B015:system library:fread:Is a directory:bss_file.c:167:
11233:error:20082002:BIO routines:FILE_READ:system lib:bss_file.c:168:
[root@www bin]# openssl genrsa -rand flora.dat -des3 1024>key.pem
-bash: 1024: 不正なファイル記述子です
[root@www bin]# openssl genrsa -rand flora.dat -des3 1024 > key.pem
0 semi-random bytes loaded
Generating RSA private key, 1024 bit long modulus
.....................++++++
...........++++++
e is 65537 (0x10001)
Enter pass phrase:
Verifying - Enter pass phrase:
[root@www bin]# openssl req -new -key key.pem -out csr.pem
Enter pass phrase for key.pem:
unable to load Private Key
11236:error:06065064:digital envelope routines:EVP_DecryptFinal:bad decrypt:evp_enc.c:438:
11236:error:0906A065:PEM routines:PEM_do_header:bad decrypt:pem_lib.c:421:
Read Error in X11
11232:error:0200B015:system library:fread:Is a directory:bss_file.c:167:
11232:error:20082002:BIO routines:FILE_READ:system lib:bss_file.c:168:
[root@www bin]# openssl md5 * > rand.dat
Read Error in X11
11233:error:0200B015:system library:fread:Is a directory:bss_file.c:167:
11233:error:20082002:BIO routines:FILE_READ:system lib:bss_file.c:168:
[root@www bin]# openssl genrsa -rand flora.dat -des3 1024>key.pem
-bash: 1024: 不正なファイル記述子です
[root@www bin]# openssl genrsa -rand flora.dat -des3 1024 > key.pem
0 semi-random bytes loaded
Generating RSA private key, 1024 bit long modulus
.....................++++++
...........++++++
e is 65537 (0x10001)
Enter pass phrase:
Verifying - Enter pass phrase:
[root@www bin]# openssl req -new -key key.pem -out csr.pem
Enter pass phrase for key.pem:
unable to load Private Key
11236:error:06065064:digital envelope routines:EVP_DecryptFinal:bad decrypt:evp_enc.c:438:
11236:error:0906A065:PEM routines:PEM_do_header:bad decrypt:pem_lib.c:421:
5添付ファイルの中身(2)
2006/01/16(月) 22:20:17 [root@www bin]# openssl req -new -key key.pem -out csr.pem
Enter pass phrase for key.pem:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:jp
State or Province Name (full name) [Berkshire]:tokyo
Locality Name (eg, city) [Newbury]:minatoku
Organization Name (eg, company) [My Company Ltd]:*****(伏せます)
Organizational Unit Name (eg, section) []:soumu service
Common Name (eg, your name or your server's hostname) []:*****(伏せます)
Email Address []:*****@*****.co.jp
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
[root@www bin]# gedit
[root@www bin]# gedit
Enter pass phrase for key.pem:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:jp
State or Province Name (full name) [Berkshire]:tokyo
Locality Name (eg, city) [Newbury]:minatoku
Organization Name (eg, company) [My Company Ltd]:*****(伏せます)
Organizational Unit Name (eg, section) []:soumu service
Common Name (eg, your name or your server's hostname) []:*****(伏せます)
Email Address []:*****@*****.co.jp
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
[root@www bin]# gedit
[root@www bin]# gedit
61
2006/01/16(月) 22:21:09 以上です。
2006/01/16(月) 22:28:22
了解しました。
では削除依頼のほど、よろしくお願いいたします。
では削除依頼のほど、よろしくお願いいたします。
2006/01/17(火) 21:39:55
でもワラタ
9名無しさん@お腹いっぱい。
2006/01/22(日) 09:03:04 でもワラタ
10名無しさん@お腹いっぱい。
2006/01/22(日) 15:00:08 わろた
2006/01/22(日) 15:53:44
World Wide Web の root 様だから仕方が無いな。
121
2006/01/23(月) 12:50:54 というわけで、どう見ても作業履歴ログでした。
後日談があります。間に入っている会社によれば、
この彼は、これを送る以前に同様なものの
「スクリーンショット版」
を送ってきたそうです。
後日談があります。間に入っている会社によれば、
この彼は、これを送る以前に同様なものの
「スクリーンショット版」
を送ってきたそうです。
13名無しさん@お腹いっぱい。
2006/03/07(火) 23:34:01 連鎖証明書がつくれなくて困ってます。
誰かたすけて。
誰かたすけて。
14名無しさん@お腹いっぱい。
2006/03/07(火) 23:58:23 keytoolとOpenSSL使いたいです。
@鍵作る
keytool -genkey -alias rsa -keystore KeyStore -keyalg RSA
A証明書要求書作る。
keytool -certreq -alias rsa -keystore KeyStore -file cert_req.csr
BCA作る。
./CA.pl -newca
CCSRを読み込んで、CA署名付き証明書発行
--ここで困ってます。
D連鎖証明書をインポート
keytool -import -alias rsa -keystore KeyStore -file ChainCert.cer
-----------------------------------------------------------------------
Cでのopensslを使用した手順を教えてください。
keytoolのマニュアルには、
連鎖証明書をimportするにはPKCS7でないとダメと書いてあるのですが。。
ttp://java.sun.com/j2se/1.4/ja/docs/ja/tooldocs/solaris/keytool.html
@鍵作る
keytool -genkey -alias rsa -keystore KeyStore -keyalg RSA
A証明書要求書作る。
keytool -certreq -alias rsa -keystore KeyStore -file cert_req.csr
BCA作る。
./CA.pl -newca
CCSRを読み込んで、CA署名付き証明書発行
--ここで困ってます。
D連鎖証明書をインポート
keytool -import -alias rsa -keystore KeyStore -file ChainCert.cer
-----------------------------------------------------------------------
Cでのopensslを使用した手順を教えてください。
keytoolのマニュアルには、
連鎖証明書をimportするにはPKCS7でないとダメと書いてあるのですが。。
ttp://java.sun.com/j2se/1.4/ja/docs/ja/tooldocs/solaris/keytool.html
15名無しさん@お腹いっぱい。
2006/05/29(月) 12:23:11 Fedora3でCAを立てようと
% CA -newca
とすると
openssl: error while loading shared libraries: libssl_gcc32.so.0: cannot open shared object file: No such file or directory
といわれました。
libssl_gcc32.so.0をlocateで探しましたがどこにもありません。
RPM Searchでlibssl_gcc32.so.0を含むパッケージを探しましたが出てこず。
どうすればいいのでしょうか?
% CA -newca
とすると
openssl: error while loading shared libraries: libssl_gcc32.so.0: cannot open shared object file: No such file or directory
といわれました。
libssl_gcc32.so.0をlocateで探しましたがどこにもありません。
RPM Searchでlibssl_gcc32.so.0を含むパッケージを探しましたが出てこず。
どうすればいいのでしょうか?
2006/05/29(月) 13:23:49
>>15ここの板の名前を100回唱えてから、顔洗って出直して来い
2006/07/24(月) 18:33:02
どこで聞いたらいいかわからないので、
こちらに来ました。
opensslで鍵を作るだけの簡単なプログラミング
をc言語でするときなんですが、
・ヘッダーにincludeして関数を呼び出して鍵を作る方法
・シェルプログラミングみたいにコマンドラインを利用する方法
この2つがあるって言うことでよかったですか?
コマンドラインから手で入力して、
CAを構築したりしたんですが、
上記のような鍵を作るだけなど簡単なことでも新しくopensslのAPIの
関数の使い方も勉強しなければいけないのかなぁと思いまして。
プログラミング事態初心者なんですが、
よろしくお願いします。
こちらに来ました。
opensslで鍵を作るだけの簡単なプログラミング
をc言語でするときなんですが、
・ヘッダーにincludeして関数を呼び出して鍵を作る方法
・シェルプログラミングみたいにコマンドラインを利用する方法
この2つがあるって言うことでよかったですか?
コマンドラインから手で入力して、
CAを構築したりしたんですが、
上記のような鍵を作るだけなど簡単なことでも新しくopensslのAPIの
関数の使い方も勉強しなければいけないのかなぁと思いまして。
プログラミング事態初心者なんですが、
よろしくお願いします。
2006/07/24(月) 19:53:15
Cなんか使わずに後者をシェルスクリプトで書けばいいんじゃないの?
Cを使うという要件の理由は何?
Cを使うという要件の理由は何?
2006/07/25(火) 07:44:43
>>18
c言語でネットワークプログラミングの
基本的なことを勉強し終わって、
sslのサイトや本見ながら、
使い方を勉強しているところです。
openssl、シェル、いろんな知識が不足していて、
手がかりを探していました。
昨日c言語でopensslのAPIの使い方がちょっと書いてある
本を見つけたので、その本読んで勉強してみます。
シェルスクリプトでも大丈夫っていうアドバイスも
すごい助かりました。シェルスクリプトで
opensslが使えるかどうかもわからないレベルなので
シェルスクリプトについても勉強してみます。
ありがとうございました。
c言語でネットワークプログラミングの
基本的なことを勉強し終わって、
sslのサイトや本見ながら、
使い方を勉強しているところです。
openssl、シェル、いろんな知識が不足していて、
手がかりを探していました。
昨日c言語でopensslのAPIの使い方がちょっと書いてある
本を見つけたので、その本読んで勉強してみます。
シェルスクリプトでも大丈夫っていうアドバイスも
すごい助かりました。シェルスクリプトで
opensslが使えるかどうかもわからないレベルなので
シェルスクリプトについても勉強してみます。
ありがとうございました。
20名無しさん@お腹いっぱい。
2007/06/02(土) 21:30:30 質問です。
SubjectDirectoryattributeに値を入れたCSRを発行したいのですが
どうすればいいのでしょうか?
Verは0.98eです。
SubjectDirectoryattributeに値を入れたCSRを発行したいのですが
どうすればいいのでしょうか?
Verは0.98eです。
2007/06/03(日) 11:14:04
おい、おれはwebprog板のphpのくだらねぇ質問スレの住民だけどよお
opensslの解説サイトがあったら教えろよ
opensslの解説サイトがあったら教えろよ
2007/06/03(日) 13:37:20
opensslに解説なんか必要なもんない
これみんなでやりませんか?
ちょっとした起爆剤になれば
もっと盛り上がると思いますよ
ブラウザから確認するためにもPHPでやりましょう。
講師もやりますよ。hatenaで聞いてきましょうか?
ちょっとした起爆剤になれば
もっと盛り上がると思いますよ
ブラウザから確認するためにもPHPでやりましょう。
講師もやりますよ。hatenaで聞いてきましょうか?
2007/07/05(木) 08:05:37
OpenSSL ってビルドに perl がいるんだね・・・・
Makefile 作るために perl がいるってことか?
Makefile 作るために perl がいるってことか?
2008/03/25(火) 02:33:56
ネト記事ごときに執拗に突っ込んでる痛い奴見つけたんでとりあえずここに貼っとく。
http://www.unixuser.org/%7Eharuyama/security/openssh/20071228.html
http://www.unixuser.org/%7Eharuyama/security/openssh/20071228.html
2008/03/25(火) 10:51:10
雑誌が減ってネット上の記事が頼りにされるようになってる時代だというのになー
2008/03/25(火) 15:46:16
ネット上の記事の重要度が上がってるなら、放置しないで突っ込むべきでは?
28名無しさん@お腹いっぱい。
2008/07/09(水) 03:06:33 自己署名CAたてたんだが、いまいちうまくいかんがな。むずい
29名無しさん@お腹いっぱい。
2008/07/14(月) 09:29:11 ここってCAの構築限定?
openssl ライブラリがらみ全般の話題ってどのスレいけばいいっすか?
質問)
openssl の rsa サブコマンドを使うとあらかじめ用意した公開鍵で
暗号化できますが、複数の公開鍵を用意してどれに対応する秘密鍵でも
復号できるようにはできないものでしょうか?
そもそも openssl の rsa サブコマンドでやるべきじゃなくて、
libopenssl を使ってツール作るべきなんでしょうか?
rsa サブコマンドでの暗号化の際にはたぶん何らかの共有鍵が
生成されていてそれを与えた公開鍵で暗号化しているのだと思うので、
複数の公開鍵を与えられればいいなぁと思ったのです。
利用例)
たとえば自分が死んだときでもあるファイル群は
嫁さん(が脳外にいたとして)が復号できるようにしておきたいとか。
openssl ライブラリがらみ全般の話題ってどのスレいけばいいっすか?
質問)
openssl の rsa サブコマンドを使うとあらかじめ用意した公開鍵で
暗号化できますが、複数の公開鍵を用意してどれに対応する秘密鍵でも
復号できるようにはできないものでしょうか?
そもそも openssl の rsa サブコマンドでやるべきじゃなくて、
libopenssl を使ってツール作るべきなんでしょうか?
rsa サブコマンドでの暗号化の際にはたぶん何らかの共有鍵が
生成されていてそれを与えた公開鍵で暗号化しているのだと思うので、
複数の公開鍵を与えられればいいなぁと思ったのです。
利用例)
たとえば自分が死んだときでもあるファイル群は
嫁さん(が脳外にいたとして)が復号できるようにしておきたいとか。
2008/07/15(火) 00:31:07
2008/07/15(火) 16:52:34
PGP などでメッセージ(なりファイルでもいいが)、暗号化して
送付する際に受取人が複数いる場合に、暗号化するには
次のようなステップをとる。
それと同じでは駄目?
1. メッセージを暗号化する鍵1(K1)を作成。
これは普通 共通鍵暗号(例:AES )の鍵として利用して、
メッセージを暗号。
2. 暗号化したメッセージの前に、 受取人がN 人いるとして、それぞれの秘密鍵で暗号化した
K1 をつける。
K1 encrypted by 1st Private Key for the 1st person.
K1 encrypted by 2nd Private Key for the 2nd person.
...
K1 encrypted by the private key of the N-th person.
これに暗号化されたメッセージをつけて送る:
K1 で暗号化されたメッセージ。
みたいな。
送付する際に受取人が複数いる場合に、暗号化するには
次のようなステップをとる。
それと同じでは駄目?
1. メッセージを暗号化する鍵1(K1)を作成。
これは普通 共通鍵暗号(例:AES )の鍵として利用して、
メッセージを暗号。
2. 暗号化したメッセージの前に、 受取人がN 人いるとして、それぞれの秘密鍵で暗号化した
K1 をつける。
K1 encrypted by 1st Private Key for the 1st person.
K1 encrypted by 2nd Private Key for the 2nd person.
...
K1 encrypted by the private key of the N-th person.
これに暗号化されたメッセージをつけて送る:
K1 で暗号化されたメッセージ。
みたいな。
レスを投稿する
ニュース
- たぬかな、結婚していた SNSで報告 生配信では入籍時期も説明 祝福殺到「おめでとう!」「幸あれ」 [muffin★]
- 【工作員】「X」のアカウント所在地公開機能が暴いた世論操作の実態 MAGA支持著名アカウントの多くが米国外から運営 日本にも波及 [ごまカンパチ★]
- 【高市関税キター!!】個人輸入・少額輸入品への税優遇見直しへ…中国の通販サイトなどからの大量輸入を懸念 [1ゲットロボ★]
- 自民 国会議員の歳費 月額5万円引き上げ 今国会での成立目指す [どどん★]
- 「車を処分してください」生活保護の窓口 取材で見えた利用者の実情 [少考さん★]
- 「クラウンに乗りたかった」東京・足立の車暴走 男性、容疑を否認★2 [七波羅探題★]
- 自民党閣僚関係者「党内外問わず高市総理に批判的なことを言える空気ではない」 [834922174]
- 【動画】慶應准教授の有野氏、高市答弁の問題点を理路整然と指摘しまいネトウヨ発狂wwwwwwwwwwww [271912485]
- まったりおじゃる丸待機スレ🏡
- 浪費癖のある鉄ヲタ「浪費癖なおす。もう二度と買わない」→数週間後「Nゲージ買いました!」
- 00:00:00.000
- 【悲報】中国人、気付いてしまう「前みたいに日本製品の不買運動やろうとしても、今時日本製品なんか買ってる奴ほぼおらんかったわ……」 [624898991]