opensslコマンドとは

opensslはUnix系のOSで標準的に利用できる暗号化関連を幅広くサポートするプログラムです。
OpenSSLコマンドのマニュアルによると、OpenSSLコマンドは、以下の3種類に分類されています。

標準コマンド「STANDARD COMMANDS」

– 以下のサブコマンドが用意されています。

asn1parse ca ciphers cms crl crl2pkcs7 dgst dh dhparam dsa dsaparam ec ecparam enc engine errstr gendh gendsa genpkey genrsa nseq ocsp passwd pkcs12 pkcs7 pkey pkeyparam pkeyutl rand req rsa rsautl s_client s_server s_time sess_id smime speed spkac ts verify version x509

例：openssl s_client -connect remote.host:443

メッセージダイジェストコマンド「MESSAGE DIGEST COMMANDS」

– ファイルのメッセージダイジェスト（ハッシュ）値を得ることができます。

md2 md5 mdc2 rmd160 sha sha1 sha224 sha256 sha384 sha512

例：openssl dgst -md5 file.txt

暗号化コマンド「ENCODING AND CIPHER COMMANDS」

– 指定の書式で暗号化できます。

base64 bf bf bf-cbc bf-cfb bf-ecb bf-ofb cast cast-cbc cast5-cbc cast5-cfb cast5-ecb cast5-ofb des des-cbc des-cfb des-ecb des-ede des-ede-cbc des-ede-cfb des-ede-ofb des-ofb des3 desx des-ede3 des-ede3-cbc des-ede3-cfb des-ede3-ofb idea idea-cbc idea-cfb idea-ecb idea-ofb rc2 rc2-cbc rc2-cfb rc2-ecb rc2-ofb rc4 rc5 rc5-cbc rc5-cfb rc5-ecb rc5-ofb

例：openssl enc -des3 -salt -in file.txt -out file.enc -pass pass:myPassword

opensslでCSRを作成する

openssl reqでCSRを作成することができます。
この時、同時に秘密鍵も作成されます。
詳細は、ApacheのCSRを作成を参照してください。

opensslでCSRの内容を確認する

openssl req -in csr.file -textでCSRの内容を確認することができます。

以下の「ここにCSRを貼り付ける」に内容を確認したいCSRを貼り付け、「確認」ボタンをクリックすれば、opensslでCSRの内容が表示されます。

SSL Plus／1年あたり64,790円から
DigiCert（デジサート）企業認証SSL/TLS スマホ対応リーズナブルな価格でご提供

opensslで証明書の内容を確認する

openssl x509 -text -noout -in cer.crt で証明書の内容を確認することができます。

以下の「ここに証明書を貼り付ける」に内容を確認したい証明書を貼り付け、「確認」ボタンをクリックすれば、証明書の内容が表示されます。

WildCard Plus／1年あたり162,910円から
複数のサブドメインを1枚の証明書でカバー DigiCert（デジサート）企業認証SSL/TLS リーズナブルな価格でご提供

opensslでPKCS7証明書の内容を確認する

Windowsシステムで良く使われる中間証明書と証明書が組み込まれた書式のファイルです。1行目に—–BEGIN PKCS7—–の記載があります。

openssl pkcs7 -in pkcs7.crt -print_certs で各証明書基本情報と各証明書書式に分解されます。

以下の「ここにPKCS7証明書を貼り付ける」に内容を確認したい証明書を貼り付け、「確認」ボタンをクリックすれば、証明書の内容が表示されます。

EV SSL Plus／1年あたり135,630円から
緑のアドレスバーでサイトの信頼性向上 DigiCert（デジサート） EV SSL/TLS リーズナブルな価格でご提供

opensslでfingerprint (拇印) を確認する

fingerprint (拇印)とは証明書が改ざんされていないことを示すハッシュ値です。

openssl x509 -in my_domain.crt -fingerprint -noout でfingerprint(拇印)を取得できます。

以下の「ここに証明書を貼り付ける」に内容を確認したいpem書式の証明書を貼り付け、「確認」ボタンをクリックすれば、証明書のfingerprint (拇印)が表示されます。
PKCS7証明書の場合は、まず、opensslでPKCS7証明書の内容を確認するでpem書式の証明書を取得してください。
表示された内容のうち、最初の証明書の「BEGIN CERTIFICATE」行から「END CERTIFICATE」までを貼り付けてください。

マルチドメイン証明書／1年あたり85,690円から
Windowsサーバーにおすすめ最大250ホスト名まで対応 DigiCert（デジサート）企業認証SSL/TLS リーズナブルな価格でご提供

CSR、証明書、秘密鍵が一致しているかを確認する

正しい組み合わせの場合、CSR、証明書、秘密鍵の3ファイルには同一のModulusデータが含まれます。Modulus データは以下のような形式になっています。

Modulus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

サイズの大きなデータをチェックするのは困難ですので、実際のチェックでは、Modulus データを md5 でハッシュした値を比較します。この値を md5 チェックサムと呼びます。
同一データからは必ず同一のハッシュ値が得られ、異なるデータでハッシュ値が同一になることはありません。
以下の方法で、CSR、証明書、秘密鍵のチェックサムを取得し、一致すれば同一の証明書のファイルであることが確認できます。

opensslでCSRのチェックサムを確認する

openssl req -noout -modulus -in my_domain.csr | openssl md5 でチェックサムを取得できます。

opensslで証明書のチェックサムを確認する

openssl x509 -noout -modulus -in my_domain.crt | openssl md5 で証明書のチェックサムを取得できます。

opensslで秘密鍵のチェックサムを確認する

openssl rsa -noout -modulus -in $key_file | openssl md5 でチェックサムを取得できます。

opensslでCSR、証明書、秘密鍵が一致しているか調べる

以下のそれぞれの「ここに CSR を貼り付ける」、「ここに証明書を貼り付ける」、「ここに秘密鍵を貼り付ける」に内容を確認したい pem 書式の CSR 、証明書、秘密鍵を貼り付け、「確認」ボタンをクリックすれば、一致しているかどうかが判定できます。

貼り付けるCSRは、「BEGIN CERTIFICATE REQUEST」行から「END CERTIFICATE REQUEST」までを含めてください。
PKCS7証明書の場合は、まず、opensslでPKCS7証明書の内容を確認するでpem書式の証明書を取得してください。表示された内容のうち、最初の証明書の「BEGIN CERTIFICATE」行から「END CERTIFICATE」までを貼り付けてください。
貼り付ける秘密鍵には「BEGIN PRIVATE KEY」行から「END PRIVATE KEY」までを含めてください。

▲このページの先頭へ戻る