それらの証明書に関連するもの(SSL、X.509、PEM、DER、CRT、CER、KEY、CSR、P12、など)
証明書の暗号化に接触していなかったの前に、気持ちの概念に関連するこれらの証明書があるため、すべての突然の新しい用語、別の領域から何かのように見えるのではなく、使い慣れたプログラミング・エリアの多くに、実際にはかなりトリッキーですそれらのものは、少なくとも私は個人的にそれを感じ、どのように彼らは非常に長い時間を知るになりました。この記事を書くの目的は、その意味や関連性だけでなく、いくつかの基本的な操作を把握する理由にこれらの概念を明確にすることです。
SSL
SSL -セキュアソケットレイヤー、今「TLS」と呼ばれる必要がありますが、理由習慣のため、我々はまだ、「SSL」と呼ばれる既定のコンテンツであることがより.httpプロトコルは暗号化されていないされているので、それはおそらくとき、他の広がり聞くためにコンテンツになります機会の高いセキュリティ要件のために、それはHTTPSで暗号化されなければならないことは、暗号化する前に、httpプロトコル、HTTPSとSSLベースの暗号化、それが比較的低く、暗号化によって実行されていることであるが、暗号化されましたサーバープログラムが動かない、暗号化した後に同じことをやって、やって、この暗号化ユーザと開発者が透明.Moreです:[ ウィキペディア ]
OpenSSLは -簡単に言えば、OpenSSLはSSLは、SSLの実装である理論だけ、そのような規範は、SSLセキュリティ、技術の現在のレベルが破損することは困難であるが、それは有名ななどの一部のSSL実装の脆弱性であってもよい規範です。 「出血ハート」.OpenSSLはまた、我々は90%未満を使用するために十分な強され、強力なソフトウェアツールの多くを提供しています。
証明書の標準
X.509は、 -これはRFC5280を参照することができるの詳細を含むべきである証明書の主な内容を規定する証明書標準であり、SSL証明書は、この規格を使用します。
エンコーディングフォーマット
同じX.509証明書は、異なる符号化フォーマットを有していてもよく、2つの符号化フォーマットがあります。
PEM -プライバシー強化メール、「----- BEGIN ...」冒頭で、「----- END ...」を最後に、コンテンツは、BASE64エンコーディングであるにテキスト形式を見てオープン。
PEM形式で表示証明書情報: -IN certificate.pem -text -noout X509のOpenSSL
、Apacheサーバ、および* NIXは、このエンコード形式を使用することを好みます。
DER -区別さ符号化規則、オープン表情が読めなくバイナリ形式です。
DER形式で表示証明書情報:OpenSSLのX509 -IN certificate.der -informデル -text -noout
JavaとWindowsのサーバーは、このエンコード形式を使用する傾向があります。
関連するファイル拡張子
我々はすでに、両方のPEMがあることを知って、DER形式をエンコードが、これは、かなり誤解を招くところですが、ファイルの拡張子は必ず「PEM」または「DER」、共通の拡張機能と呼ばれていないだけでなく、次のPEMとDERがありますこれらは、異なっていてもよく、それらの符号化形式に加えて、コンテンツに違いがあるが、ほとんどは、フォーマット変換を符号化することができます。
CRTは - CRTは3文字の証明書でなければなりませんが、それはまだ意味の証明書であり、* NIXシステムでは一般的な、そこにはPEMを符号化することができる、そこには、DERを符号化することができる、ほとんどがPEMは、私はあなたがすでに区別する方法を知っていると信じて、コード化されなければなりません。
CER -または証明書、または証明書は、Windowsシステムでは一般的であり、同じことがPEMは、エンコードすることができ、それは、DERを符号化することができる、ほとんどがDERをエンコードする必要があります。
KEY 通常、パブリックまたはプライベートを格納するために使用される、それをコードするX.509証明書、おそらくPEMないが、それはDERかもしれ- 。
opensslのRSA -in mykey.key -text -noout:ビューKEYの方法
、それがされている場合DERフォーマットは、共感は、ケースすべきである:OpenSSLのRSA -IN mykey.key -text -noout -informデア
CSR -この世代では、(もちろん、いくつかの他の情報が付属しての)証明書署名要求、すなわち、証明書署名要求は、この公開鍵されている証明書ではなく、その中核的なコンテンツへの権限の適用の署名認証局の証明書を取得しますあなたが適用されますが、また、秘密鍵を生成する際に、秘密鍵がなさのiOS APPの友人はそれのAppleデベロッパ証明書を適用する方法を知っておく必要があり、自分自身の世話をすることです。..
ビューへの道:opensslのREQ -noout -text - my.csr中(DER形式、それはいつものようにビジネスであれば、その後、-inform DERを追加し、私はここに書いていません)
PFX / P12 - * nixのサーバー上のPKCS#12の前身は、一般的なCRTとは、KEYは別のファイルに分けて保存されますが、このファイルは、証明書が含まれているように、Windowsは、IISは、彼らが(、PFXファイルを存在しますそして、秘密鍵)が、これは安全ではないのだろうか?それは、そこにあなたがそれを読み出したいものだ、それは抽出パスワードを提供するように要求されます「エキスパスワード」は、通常PFXがあるべきではない、DERがPFXの使用をエンコード、PEMにPFXを変換する方法は、エンコードされましたか?
OpenSSLのPKCS12 -inため-iis.pfx -outため -iis.pemは-nodes
あなたはコードの-iis.pemエキスを入力するように求められます。この時間は、読み取り可能なテキスト...である
。このような生成PFXコマンド:opensslのPKCS12 -export - certificate.crt -inkey privateKey.key -out certificate.pfx -certfile CACert.crtで
CACert.crt CA(認証局認証局)のルート証明書は、どちらが-certfileパラメータによって、いずれかと一緒に行く。それはそうだから、PFXは、実際には、証明書の鍵データベースです。
JKS -少しのJavaの使用との間のOpenSSLの関係をどうするためのJavaの特許である、すなわちJavaのキーストレージは、「キーツール」ツールと呼ばれ、PFXはJKSに変換することができ、もちろん、keytoolは直接JKSを生成するが、これでできますないテーブルへ。
証明書のエンコーディング変換
DERへのPEM のOpenSSL X509 -IN cert.crt -outformデル・チェックアウトやcert.der
DER转为PEM のopensslのx509 -in cert.crt -informデル-outform PEM -outのcert.pem
(ヒント:KEYファイルも似て変換するが、RSAへのX509、CSRの言葉をオンにするには、X509は... REQを置き換え)
証明書を取得
認証局に証明書を要求し
このコマンドは、CSRを生成するために使用されます。openssl reqを-newkey RSA:2048 -new -nodes -keyout my.key -out my.csr
認証局への権限のCSR、この認証局に署名する権限、完全な保持が良いです。 CSRは、認証局の証明機関の期限が切れたとき、あなたは新しい証明書を申請するために、同じCSRを使用することができ、キーは変わりません。
または自己署名証明書を生成
opensslのREQ -newkey RSA:2048 -new -nodes -x509 -days 3650 -keyout key.pem -out cert.pemを
実際には、物事の束に記入をお願いします証明書を生成する過程で、本当にしたいです唯一の共通名を記入し、一般的な「yourcompany.com」としてあなたのドメインネームサーバ、記入、またはサーバーのIPアドレス、その他は左側の空白にすることができます。
本番環境または自己署名証明書を使用していない、そうでない場合は、ブラウザはしません認識するか、またはあなたがビジネスアプリケーションであれば、その後、あなたの自己署名証明書が必要とされて受け入れるために、ユーザーのブラウザを強制することができる。認証局を求める通常のお金ですが、今の自由があり、あるだけの簡単なドメイン名の検証を必要とします興味があり、「デジタル証明書臥。」見上げます
証明書の暗号化に接触していなかったの前に、気持ちの概念に関連するこれらの証明書があるため、すべての突然の新しい用語、別の領域から何かのように見えるのではなく、使い慣れたプログラミング・エリアの多くに、実際にはかなりトリッキーですそれらのものは、少なくとも私は個人的にそれを感じ、どのように彼らは非常に長い時間を知るになりました。この記事を書くの目的は、その意味や関連性だけでなく、いくつかの基本的な操作を把握する理由にこれらの概念を明確にすることです。
SSL
SSL -セキュアソケットレイヤー、今「TLS」と呼ばれる必要がありますが、理由習慣のため、我々はまだ、「SSL」と呼ばれる既定のコンテンツであることがより.httpプロトコルは暗号化されていないされているので、それはおそらくとき、他の広がり聞くためにコンテンツになります機会の高いセキュリティ要件のために、それはHTTPSで暗号化されなければならないことは、暗号化する前に、httpプロトコル、HTTPSとSSLベースの暗号化、それが比較的低く、暗号化によって実行されていることであるが、暗号化されましたサーバープログラムが動かない、暗号化した後に同じことをやって、やって、この暗号化ユーザと開発者が透明.Moreです:[ ウィキペディア ]
OpenSSLは -簡単に言えば、OpenSSLはSSLは、SSLの実装である理論だけ、そのような規範は、SSLセキュリティ、技術の現在のレベルが破損することは困難であるが、それは有名ななどの一部のSSL実装の脆弱性であってもよい規範です。 「出血ハート」.OpenSSLはまた、我々は90%未満を使用するために十分な強され、強力なソフトウェアツールの多くを提供しています。
証明書の標準
X.509は、 -これはRFC5280を参照することができるの詳細を含むべきである証明書の主な内容を規定する証明書標準であり、SSL証明書は、この規格を使用します。
エンコーディングフォーマット
同じX.509証明書は、異なる符号化フォーマットを有していてもよく、2つの符号化フォーマットがあります。
PEM -プライバシー強化メール、「----- BEGIN ...」冒頭で、「----- END ...」を最後に、コンテンツは、BASE64エンコーディングであるにテキスト形式を見てオープン。
PEM形式で表示証明書情報: -IN certificate.pem -text -noout X509のOpenSSL
、Apacheサーバ、および* NIXは、このエンコード形式を使用することを好みます。
DER -区別さ符号化規則、オープン表情が読めなくバイナリ形式です。
DER形式で表示証明書情報:OpenSSLのX509 -IN certificate.der -informデル -text -noout
JavaとWindowsのサーバーは、このエンコード形式を使用する傾向があります。
関連するファイル拡張子
我々はすでに、両方のPEMがあることを知って、DER形式をエンコードが、これは、かなり誤解を招くところですが、ファイルの拡張子は必ず「PEM」または「DER」、共通の拡張機能と呼ばれていないだけでなく、次のPEMとDERがありますこれらは、異なっていてもよく、それらの符号化形式に加えて、コンテンツに違いがあるが、ほとんどは、フォーマット変換を符号化することができます。
CRTは - CRTは3文字の証明書でなければなりませんが、それはまだ意味の証明書であり、* NIXシステムでは一般的な、そこにはPEMを符号化することができる、そこには、DERを符号化することができる、ほとんどがPEMは、私はあなたがすでに区別する方法を知っていると信じて、コード化されなければなりません。
CER -または証明書、または証明書は、Windowsシステムでは一般的であり、同じことがPEMは、エンコードすることができ、それは、DERを符号化することができる、ほとんどがDERをエンコードする必要があります。
KEY 通常、パブリックまたはプライベートを格納するために使用される、それをコードするX.509証明書、おそらくPEMないが、それはDERかもしれ- 。
opensslのRSA -in mykey.key -text -noout:ビューKEYの方法
、それがされている場合DERフォーマットは、共感は、ケースすべきである:OpenSSLのRSA -IN mykey.key -text -noout -informデア
CSR -この世代では、(もちろん、いくつかの他の情報が付属しての)証明書署名要求、すなわち、証明書署名要求は、この公開鍵されている証明書ではなく、その中核的なコンテンツへの権限の適用の署名認証局の証明書を取得しますあなたが適用されますが、また、秘密鍵を生成する際に、秘密鍵がなさのiOS APPの友人はそれのAppleデベロッパ証明書を適用する方法を知っておく必要があり、自分自身の世話をすることです。..
ビューへの道:opensslのREQ -noout -text - my.csr中(DER形式、それはいつものようにビジネスであれば、その後、-inform DERを追加し、私はここに書いていません)
PFX / P12 - * nixのサーバー上のPKCS#12の前身は、一般的なCRTとは、KEYは別のファイルに分けて保存されますが、このファイルは、証明書が含まれているように、Windowsは、IISは、彼らが(、PFXファイルを存在しますそして、秘密鍵)が、これは安全ではないのだろうか?それは、そこにあなたがそれを読み出したいものだ、それは抽出パスワードを提供するように要求されます「エキスパスワード」は、通常PFXがあるべきではない、DERがPFXの使用をエンコード、PEMにPFXを変換する方法は、エンコードされましたか?
OpenSSLのPKCS12 -inため-iis.pfx -outため -iis.pemは-nodes
あなたはコードの-iis.pemエキスを入力するように求められます。この時間は、読み取り可能なテキスト...である
。このような生成PFXコマンド:opensslのPKCS12 -export - certificate.crt -inkey privateKey.key -out certificate.pfx -certfile CACert.crtで
CACert.crt CA(認証局認証局)のルート証明書は、どちらが-certfileパラメータによって、いずれかと一緒に行く。それはそうだから、PFXは、実際には、証明書の鍵データベースです。
JKS -少しのJavaの使用との間のOpenSSLの関係をどうするためのJavaの特許である、すなわちJavaのキーストレージは、「キーツール」ツールと呼ばれ、PFXはJKSに変換することができ、もちろん、keytoolは直接JKSを生成するが、これでできますないテーブルへ。
証明書のエンコーディング変換
DERへのPEM のOpenSSL X509 -IN cert.crt -outformデル・チェックアウトやcert.der
DER转为PEM のopensslのx509 -in cert.crt -informデル-outform PEM -outのcert.pem
(ヒント:KEYファイルも似て変換するが、RSAへのX509、CSRの言葉をオンにするには、X509は... REQを置き換え)
証明書を取得
認証局に証明書を要求し
このコマンドは、CSRを生成するために使用されます。openssl reqを-newkey RSA:2048 -new -nodes -keyout my.key -out my.csr
認証局への権限のCSR、この認証局に署名する権限、完全な保持が良いです。 CSRは、認証局の証明機関の期限が切れたとき、あなたは新しい証明書を申請するために、同じCSRを使用することができ、キーは変わりません。
または自己署名証明書を生成
opensslのREQ -newkey RSA:2048 -new -nodes -x509 -days 3650 -keyout key.pem -out cert.pemを
実際には、物事の束に記入をお願いします証明書を生成する過程で、本当にしたいです唯一の共通名を記入し、一般的な「yourcompany.com」としてあなたのドメインネームサーバ、記入、またはサーバーのIPアドレス、その他は左側の空白にすることができます。
本番環境または自己署名証明書を使用していない、そうでない場合は、ブラウザはしません認識するか、またはあなたがビジネスアプリケーションであれば、その後、あなたの自己署名証明書が必要とされて受け入れるために、ユーザーのブラウザを強制することができる。認証局を求める通常のお金ですが、今の自由があり、あるだけの簡単なドメイン名の検証を必要とします興味があり、「デジタル証明書臥。」見上げます