サーバに適用する前にローカル環境でSSL証明書をブラウザで確認する方法

About

SSL証明書更新をするに当たって、更新後に正しい証明書が送られてきた確認したかったのですが、検証環境がありませんでした。そんなときにopensslコマンドで擬似サーバを作ってブラウザから証明書の情報を確認する方法をまとめました。

各種ファイルについて

KEYファイル（Private Key/秘密鍵）

秘密鍵。大本になるファイル。サーバにインストールします。この秘密鍵を元にCSRを作成します。

CSRファイル（Certificate Signing Request/証明書署名要求）

申請者から認証局へ送られる証明書。申請者を識別する情報と申請者の公開鍵が含まれてる。

CRT/CERファイル

認証局がCSRファイルに情報を付加して秘密鍵で暗号化したのもので、俗にサーバ証明書と呼ばれる。どちらのファイルも509証明書を格納したファイルを示しているだけで、ファイルフォーマットと関連付いているわけではない。CERと言った場合、中間証明書として扱うことがあるとのこと。

ブラウザを使って証明書を確認する

ローカルで擬似的なサーバを作って実際に証明書を確認します。

/etc/hostsを修正する

登録しているコモンネームとアクセスするドメイン名が一致していないと意味がないので、/etc/hostsを書き換えて擬似的にアクセスするように見せかける必要があります。

サーバを起動する

$ openssl s_server -cert <crtファイル> -key <private_key> -www

中間証明書がある場合はオプションで指定する。

$ openssl s_server -cert <crtファイル> -key <private_key> -CAfile <cer> -www 

-wwwだと証明書の情報などが出てしまい、嫌だという場合は-WWWオプションを使うことで回避できます。-WWWをつけるとコマンドを実行したカレントディレクトリが、ドキュメントルートのようになるので、適当なファイルをURLに指定すると良いです。

• [2015/10/追記] ブラウザによってはDH鍵交換を許可していないため、エラーが出ることがあります。その場合は下記のようにオプションを追加してECDHのみ許可することで確認が可能になります。

$ openssl s_server -cert <crtファイル> -key <private_key> -CAfile <中間証明書> -www -no_dhe

ブラウザでアクセスする。

https://:4433にアクセスすれば、ログみたいなものが書いているページにアクセスできます。アドレスバーの鍵マークをクリックするなどして、証明書情報の確認が可能です。

番外編

opensslコマンドで確認

擬似サーバを起動する

$ openssl s_server -cert <crtファイル> -key <private_key>

上記コマンドを叩くことでサーバが起動する

クライアントからアクセスする

$ openssl s_client -connect localhost:4433

ポート番号を変更したい場合は-accept 5000のように指定が可能です。
こちらの方法だとアクセスが成功すると、チャットを打つことができます。

ハッシュ値を確認する

• ローカルで確認するにはこれが簡単そうですね。

$ openssl x509 -noout -modulus -in server.crt | openssl md5
12345678abcdefg12345678abcdefg
$ openssl rsa -noout -modulus -in server.key | openssl md5
12345678abcdefg12345678abcdefg
$ openssl req -noout -modulus -in server.csr | openssl md5
12345678abcdefg12345678abcdefg

link

• オレオレ証明書をopensslで作る（詳細版） - ろば電子が詰まっている
• SSL証明書のKEYファイル・CSRファイル・CRTファイルのチェック方法 - install memo
• IPA 独立行政法人 情報処理推進機構：PKI 関連技術情報
• CentOS7.1 64bit OpenSSLを使用したSSL用の秘密鍵と証明書の作成 | kakiro-web カキローウェブ