I have been looking for the way how to generate CSR included subjectAltName. This is a supplemental article for X509証明書項目-対象者代替名称(subjectAlternativeName) - Shammerism. enable(remove comment character) the line "req_extensions =…

This is a next step of Generate a certitifate and a private key of OCSP Responder - Shammerism This step is similar with Generate a certitifate and a private key of OCSP Responder - Shammerism, but using openssl config file is different be…

This is a next step of Generate a certitifate and a private key of intermediate CA - Shammerism According to OCSPの動作 - Shammerism, OCSP responder certificate requires following extensions. extendedKeyUsage = OCSPSigningSo, openssl confi…

This is a next step of Generate Root CA certificate whose extensions are equivalent as DigiCert Global Root CA - Shammerism Based on My CA preparation supporting OCSP - Shammerism, the certificate of intermediate CA should include OCSP URL…

This is the following article of My CA preparation supporting OCSP - Shammerism. The first step is build up my own root CA. Article title includes But root CA is simple because there is no need both CRL Distribution Points and AIA when roo…

This is a next step of CRL vs OCSP - Shammerism. The OCSP test with openssl I did before in OpenSSLのOCSPはURLEncodeされたOCSPリクエストを処理できない?その4 - Shammerism, OCSP responder can not be implemented on normal web servers like apa…

I investigate a little about certificates information generated by DigiCert which supports OCSP in the past, the article is OpenSSLのOCSPはURLEncodeされたOCSPリクエストを処理できない?その2 - Shammerism. And I failed enabling OCSP Stapling …

This is a subsequent article of Apache 2.4 bundled as default on Debian Jessie - Shammerism. I tested enabling OCSP Stapling on Apache. A lot of sites tell the way how to configure apache to enable OSCP Stapling, for example How To Configu…

I'm using Debian wheezy mainly, but Debian Jessie's apache version seems to be 2.4. And this version supports OCSP Stapling. I wrote about OCSP before, one of them is OCSPの動作 - Shammerism, it has passed about 2 years. But, Jessie's apac…

SSL証明書のDNがUS?仕様になっているので、日本仕様に変えたいと思って方法を調べていたら・・・スッカリ忘れていたが過去に自分でやっていた(OpenSSL の DName 項目変更 - Shammerism。これを参考にやってみたが、作成された証明書のDNが数字になってしまう…

This is a series of SSL Cipher Check Start!!! - Shammerism Generate a DH parameter file Generate a DSA certificate Running openssl s_server with using those files Access from same host using with the script in this article Generate a DH pa…

Debian wheezy has python 2.7.3 and it's SSL library looks disabling server-certificate-verify as default. The script I wrote at Remote SSL Server cipher check script with openssl - 20150126 - Shammerism uses openssl and there is no way to …

This script is to be used for the check that I wrote in this article. There is a similar script with curl which I wrote before in this article, but it is better if I can get a CA certificates that signs a target server certificate. #!/bin/…

Introduction In this article, I referred that there are several ciphers in SSL but I experienced only RSA. Then, I would like to be able to become that I can deal with other ciphers. But, the way creating SSL certificates I am familiar wit…

証明書の秘密鍵生成方法見直し - Shammerismのとおり、opensslのgenpkeyを使用していろいろな証明書を作成しようとしているが、DHの秘密鍵を使用してCSRを作成しようとするとできない。 # openssl genpkey -genparam -algorithm DH -out dhparam.pem -pkeyop…

Weblogicの対応をしていた頃は、自分でSSLの証明書を作成する際には常にRSAで鍵交換をする想定で、以下のようにRSAの鍵を作っていた。 $ openssl genrsa -out key.pem 2048 ... $しかし、実際にはRSA以外で鍵交換することも多く、そういう検証ではRSA以外の…

curlの最新版、7.39.0が先日出たようだ。これで接続先サーバで使用可能なcipherを知りたい--curl_20141029 - Shammerismのスクリプトを試してみたが、問題なさそうだ。でも、、、なんか不安だ。本当に漏れはないだろうか。とりあえず、実行結果の例。 ~:# ./…

接続先サーバで使用可能なcipherを知りたい--curl_20141027 - Shammerismで作成したスクリプト、応答が302とかでHTMLのコンテントがない場合や、何も応答を返さないサーバーがあると誤判定してしまう可能性がある。コンテントがない場合はどうにもならないが…

curlのビルド時にどのSSLライブラリを使用するかで使用可能なcipherも変わってくる。そのため、全てのcipherを確認することはできない。あくまでも、確認できるのはクライアントが使用可能なcipherの中で、サーバーも使用可能なものを調べる、というスタンス…

OpenSSLのs_clientにはshowcertsというオプションがあり、それを使用することで証明書の内容を表示できる。この表示された証明書のみを保存すれば証明書を取得できる。以下のような感じで実行する。 $ openssl s_client -connect $Host:443 2>&1 < /dev/null…

X509証明書項目-拡張鍵用途(ExtendedKeyUsage) - Shammerismで、ExtendedKeyUsageで設定できる内容の一覧がほしいと書いていたが、info x503v3_configでその情報があった。 Value Meaning ----- ------- serverAuth SSL/TLS Web Server Authentication. clie…

これまでX509の情報について書籍を参考に(ほぼコピペで)まとめてきたが、manコマンドでいろいろなことがわかることがわかった。具体的には以下のコマンドだ。 man ca man req man x509v3_config infoでもca以外はは参照できる。info caとすると、おそらくcat…

説明(書籍から一部引用) InhibitAnyPolicyConstraint拡張領域で、anyPolicyポリシー識別子の使用を排除できます。これにより明示的ポリシーと対立する任意ポリシーを使用しているCAを制御できます。この拡張領域にはcriticalの印をつけることもできますし、n…

説明(書籍から一部引用) NameConstraints拡張領域により、CAは他のCAを証明する際に名前空間のどの部分がカバーされるかを識別できます。この拡張領域によりカバーされる名前形式のデータタイプはGeneralNameであり、幅広い命名規則がカバーされます。しかし…

説明(書籍から一部引用) この拡張領域は証明書ポリシーフィールドの使用に依存する処理を実行する際に適用が望まれる制約の集まりです。 requireExplicitPolicyインジケータは、処理中の証明書の後に続くすべての証明書が、受け入れ可能なポリシー識別子を明…

説明(書籍から一部引用) BasicConstraints拡張領域でCA証明書の識別ができます。この拡張領域はCAフィールドとPathLenConstraintフィールドを保持しています。基本制約CAフィールドが真にセットされた証明書で証明されている公開鍵を持つエンティティは、証…

説明(書籍から一部引用) SubjectDirectoryAttributes拡張領域は、証明書の対象者に適用可能なディレクトリ属性を入れることのできる非クリティカル拡張領域です。 OpenSSLの設定例 デフォルトでは未定義のようだ。 # grep -i SubjectDirectoryAttributes ope…

説明(書籍から一部引用) IssuerAlternativeName拡張領域には、証明書の発行者を特定するために使用できるさまざまな名称形式のリストが保持されています。この拡張領域にクリティカルの印がついている場合、Issuerフィールドにはヌル名称を入れることができ…

説明(書籍から一部引用) SubjectAltnativeName拡張領域には、証明書の対象者の特定に使用できるさまざまな名称形式のリストが保持されています。この拡張領域にクリティカルの印がついている場合、Subjectフィールドにはヌル名称を入れることができます。ま…

説明(書籍から一部引用) PolicyMapping拡張領域により、証明書発行者は証明書ユーザーのドメインのポリシー識別子に対応する発行者のドメインのポリシー識別子を示すことができます。これにより発行者のドメインで使用されているOIDを証明書ユーザーのドメイ…