OpenSSL を使用して自己署名証明書を作成する方法

OpenSSL を使用して自己署名証明書を作成する方法
あなたのような読者が MUO をサポートします。当社サイトのリンクを使用して商品を購入すると、アフィリエイト手数料が発生する場合があります。 続きを読む。

SSL/TLS 証明書は、Web アプリケーションまたはサーバーを保護するために不可欠です。いくつかの信頼できる認証局が有料で SSL/TLS 証明書を提供していますが、OpenSSL を使用して自己署名証明書を生成することもできます。自己署名証明書には信頼できる機関の承認がないにもかかわらず、Web トラフィックを暗号化できます。では、OpenSSL を使用して Web サイトまたはサーバーの自己署名証明書を生成するにはどうすればよいでしょうか?





その日のメイクアップビデオ スクロールしてコンテンツを続けてください

OpenSSL のインストール方法

OpenSSL はオープンソース ソフトウェアです。ただし、プログラミングの経験がなく、ビルド プロセスが心配な場合は、少し技術的な設定が必要になります。これを回避するには、完全にコンパイルされ、すぐにインストールできる最新バージョンの OpenSSL コードを次のサイトからダウンロードできます。 slprowebのサイト



ここで、システムに適した最新の OpenSSL バージョンの MSI 拡張機能を選択します。





OpenSSL ダウンロード用の slproweb Web サイトからのスクリーンショット

例として、次の OpenSSL を考えてみましょう。 D:\OpenSSL-Win64 。これは変更できます。インストールが完了したら、 管理者として PowerShell を開きます という名前のサブフォルダーに移動します 置き場 OpenSSL をインストールしたフォルダー内。これを行うには、次のコマンドを使用します。

 cd 'D:\OpenSSL-Win64\bin'

アクセスできるようになりました openssl.exe 必要に応じて実行できます。



ps3コントローラーをAndroidBluetoothに接続します
version コマンドを実行して openssl がインストールされているかどうかを確認する

OpenSSL を使用して秘密キーを生成する

自己署名証明書を作成するには秘密キーが必要です。同じ bin フォルダー内で、管理者として開いた後、PowerShell で次のコマンドを入力することで、この秘密キーを作成できます。

 openssl.exe genrsa -des3 -out myPrivateKey.key 2048

このコマンドは、OpenSSL 経由で 2048 ビット長の 3DES 暗号化された RSA 秘密キーを生成します。 OpenSSL ではパスワードの入力を求められます。を使用する必要があります 強力で覚えやすいパスワード 。同じパスワードを 2 回入力すると、RSA 秘密キーが正常に生成されます。



RSA キーの生成に使用されたコマンドの出力

RSA 秘密キーは次の名前で見つけることができます。 myPrivateKey.key

OpenSSL を使用して CSR ファイルを作成する方法

作成した秘密キーだけでは十分ではありません。さらに、自己署名証明書を作成するには CSR ファイルが必要です。この CSR ファイルを作成するには、PowerShell で新しいコマンドを入力する必要があります。



 openssl.exe req -new -key myPrivateKey.key -out myCertRequest.csr

OpenSSL は、ここで秘密キーを生成するために入力したパスワードも要求します。さらに、あなたの法的情報および個人情報も要求されます。この情報を正しく入力するように注意してください。

CSR ファイルの生成に使用されたコマンドの出力

さらに、これまでのすべての操作を 1 つのコマンド ラインで行うことができます。以下のコマンドを使用すると、秘密 RSA キーと CSR ファイルの両方を一度に生成できます。

 openssl.exe req -new -newkey rsa:2048 -nodes -keyout myPrivateKey2.key -out myCertRequest2.csr
RSA ファイルと CSR ファイルを一度に作成するために使用されるコマンドの出力

という名前のファイルが表示されるようになります。 myCertRequest.csr 関連するディレクトリにあります。作成するこの CSR ファイルには、次に関する情報が含まれています。

  • 証明書を要求する機関。
  • 一般名 (つまり、ドメイン名)。
  • 公開キー (暗号化目的)。

作成した CSR ファイルは、特定の当局による審査と承認が必要です。このためには、CSR ファイルを認証局または他の仲介機関に直接送信する必要があります。

これらの当局や証券会社は、必要な証明書の性質に応じて、提供された情報が正しいかどうかを検査します。情報が正しいかどうかを証明するために、いくつかの文書をオフライン (ファックス、郵便など) で送信する必要がある場合もあります。

認証局による証明書の作成

作成した CSR ファイルを有効な認証局に送信すると、認証局はファイルに署名し、証明書を要求側の機関または個人に送信します。その際、証明機関 (CA とも呼ばれます) は、CSR ファイルと RSA ファイルから PEM ファイルも作成します。 PEM ファイルは、自己署名証明書に必要な最後のファイルです。これらの段階により、 SSL 証明書は整理され、信頼性が高く、安全なままです 。

OpenSSL を使用して PEM ファイルを自分で作成することもできます。ただし、証明書の信頼性や有効性が明確ではないため、これにより証明書のセキュリティに潜在的なリスクが生じる可能性があります。また、証明書が検証できないため、一部のアプリケーションや環境では証明書が機能しなくなる可能性があります。したがって、この自己署名証明書の例では、偽の PEM ファイルを使用できますが、もちろん、これは実際の使用では不可能です。

ここでは、次の名前の PEM ファイルがあると想像してください。 myPemKey.pem 公式の認証局からのものです。次のコマンドを使用して、自分用の PEM ファイルを作成できます。

 openssl x509 -req -sha256 -days 365 -in myCertRequest.csr -signkey myPrivateKey.key -out myPemKey.pem

このようなファイルがある場合、自己署名証明書に使用するコマンドは次のようになります。

 openssl.exe x509 -req -days 365 -in myCertRequest.csr -signkey myPemKey.pem -out mySelfSignedCert.cer

このコマンドは、CSR ファイルが次の名前の秘密キーで署名されていることを意味します。 myPemKey.pem 、365日有効です。その結果、次の名前の証明書ファイルが作成されます。 mySelfSignedCert.cer

自己署名証明書がフォルダ内に存在するイメージ

自己署名証明書の情報

次のコマンドを使用して、作成した自己署名証明書の情報を確認できます。

 openssl.exe x509 -noout -text -in mySelfSignedCert.cer

これにより、証明書に含まれるすべての情報が表示されます。企業情報や個人情報、証明書に使用されているアルゴリズムなど多くの情報を確認することができます。

自己署名証明書が認証局によって署名されていない場合はどうなりますか?

作成した自己署名証明書を監査し、それらが安全であることを確認することが重要です。通常、これはサードパーティの証明書プロバイダー (つまり CA) が行います。サードパーティの認証局によって署名および承認された証明書がなく、この未承認の証明書を使用すると、セキュリティ上の問題が発生します。

たとえば、ハッカーは自己署名証明書を使用して Web サイトの偽のコピーを作成する可能性があります。これにより、攻撃者がユーザーの情報を盗むことが可能になります。また、ユーザーのユーザー名、パスワード、その他の機密情報を入手する可能性もあります。

ユーザーのセキュリティを確保するために、Web サイトやその他のサービスは通常、CA によって実際に認証された証明書を使用する必要があります。これにより、ユーザーのデータが暗号化され、正しいサーバーに接続していることが保証されます。

マウスが機能しないのはなぜですか

Windows での自己署名証明書の作成

ご覧のとおり、OpenSSL を使用して Windows で自己署名証明書を作成するのは非常に簡単です。ただし、認証局の承認も必要になることに注意してください。

それにもかかわらず、そのような証明書を作成するということは、ユーザーのセキュリティを真剣に考えていることを示しており、ユーザーがあなた、あなたのサイト、そしてあなたのブランド全体をより信頼することを意味します。