openssl
差分
このページの2つのバージョン間の差分を表示します。
| 次のリビジョン | 前のリビジョン | ||
| openssl [2020/07/06 00:57] – 作成 nullpon | openssl [2024/07/15 10:20] (現在) – nullpon | ||
|---|---|---|---|
| 行 1: | 行 1: | ||
| - | ====== | + | < |
| + | # OpenSSL | ||
| - | ===== 使い方 ===== | + | ## 鍵ペアを作成 |
| - | 使用可能な暗号スイートを表示 | + | TLSのサーバ鍵やデジタル署名鍵として使用できる鍵ペアを作成する |
| - | < | + | ``` |
| + | # rsa 2048bit 鍵を作る | ||
| + | openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits: | ||
| + | |||
| + | # 別の作り方 | ||
| + | openssl genrsa -out server_key.pem 2048 | ||
| + | |||
| + | # ecdsaの鍵を作る | ||
| + | openssl genpkey -algorithm EC -pkeyopt ec_paramgen_curve: | ||
| + | |||
| + | # 別の作り方 | ||
| + | openssl ecparam -genkey -name prime256v1 -out server_key.pem | ||
| + | ``` | ||
| + | |||
| + | `-aes256`等のパラメータを追加すると鍵を暗号化できる | ||
| + | |||
| + | |||
| + | ### 鍵の確認 | ||
| + | |||
| + | ``` | ||
| + | openssl pkey -in server_key.pem -noout -text | ||
| + | ``` | ||
| + | |||
| + | |||
| + | ## TLS | ||
| + | |||
| + | ### 使用可能な暗号スイートを表示 | ||
| + | |||
| + | ``` | ||
| + | # 全て | ||
| openssl ciphers -v | openssl ciphers -v | ||
| + | # TLS 1.3で使用可能な暗号スイートを表示 | ||
| openssl ciphers -v TLSv1.3 | openssl ciphers -v TLSv1.3 | ||
| - | openssl ciphers -v 'ALL:!aNULL:!SSLv2:!LOW:!MD5' | + | # 暗号スイートを指定して表示(これはnginx 1.17のデフォルトの暗号スイート指定) |
| - | </code> | + | openssl ciphers -v 'HIGH:!aNULL:!MD5' |
| + | ``` | ||
| + | |||
| + | ### CSRの作成 | ||
| + | |||
| + | 作成 | ||
| + | |||
| + | ``` | ||
| + | openssl req -new -key server_key.pem -out server_csr.pem | ||
| + | ``` | ||
| + | |||
| + | 確認 | ||
| + | |||
| + | ``` | ||
| + | openssl req -in server_csr.pem -noout -text | ||
| + | ``` | ||
| + | |||
| + | ## 署名と検証 | ||
| + | |||
| + | ECDSA鍵を使って署名の作成と検証する例 | ||
| + | |||
| + | ### 使用可能な楕円曲線一覧 | ||
| + | |||
| + | ``` | ||
| + | openssl ecparam -list_curves | ||
| + | ``` | ||
| + | |||
| + | 秘密鍵と公開鍵を作成(ここではP-256曲線=prime256v1を使う) | ||
| + | |||
| + | ``` | ||
| + | openssl ecparam -name prime256v1 -genkey -out ec.key | ||
| + | ``` | ||
| + | |||
| + | 公開鍵をとりだす | ||
| + | |||
| + | ``` | ||
| + | openssl ec -pubout -in ec.key -out ec.pub | ||
| + | ``` | ||
| + | |||
| + | hoge.txtファイルの署名を作成(対象のファイルは一番後ろに書く) | ||
| + | |||
| + | ``` | ||
| + | openssl dgst -sign ec.key -sha256 -out hoge.txt.sig hoge.txt | ||
| + | ``` | ||
| + | |||
| + | hoge.txtの署名を検証(検証対象のファイルは一番後ろに書く) | ||
| + | |||
| + | ``` | ||
| + | openssl dgst -verify ec.pub -sha256 -signature hoge.txt.sig hoge.txt | ||
| + | ``` | ||
| + | |||
| + | Verified OKと出力されればOK | ||
| + | |||
| + | ↑で生成した鍵を使って署名・検証するRubyのサンプルコード | ||
| + | |||
| + | ```ruby | ||
| + | require ' | ||
| + | |||
| + | key_pair = File.open(' | ||
| + | |||
| + | sig = key_pair.sign('sha256', | ||
| + | |||
| + | pub_key = File.open(' | ||
| + | |||
| + | puts pub_key.verify(' | ||
| + | puts pub_key.verify(' | ||
| + | ``` | ||
| + | |||
| + | </markdown> | ||
| + | |||
| + | ===== 楕円曲線 ===== | ||
| + | |||
| + | 楕円曲線とは'' | ||
| + | |||
| + | 電子署名でよく使われる楕円曲線は以下の3つ(nistはアメリカ国立標準技術研究所) | ||
| + | |||
| + | ^nist推奨^openssl^ | ||
| + | |P-256|prime256v1 (secp256r1)| | ||
| + | |P-384|secp384r1| | ||
| + | |P-521|secp521r1| | ||
| + | |||
| + | |||
| + | 他にも暗号として使用可能な曲線はいくつかあるが、この3つがよく使われる。ssh-keygenで使用されるのはこれらの3つの曲線である。TLSではP-256またはP-384がよく使われる(と言ってもRSA署名の圧倒的に多い)、P-521は対応していないブラウザもある(2020年12月現在) | ||
openssl.1593997053.txt.gz · 最終更新: 2020/07/06 00:57 by nullpon