openssl コマンドの操作
OpenSSL (http://www.openssl.org) のコマンド (openssl) の一覧と,openssl を使った公開鍵証明書の主な操作の方法を示します.
Windows版の OpenSSL は,http://www.slproweb.com/products/Win32OpenSSL.html にあります.
| asn1parse | ASN.1 データの解析・表示 |
| ca | CA(公開鍵亜証明書)の操作 |
| ciphers | SSL/TLS で使用できる暗号スイート一覧の表示 |
| cms | CMS(暗号メッセージシンタックス) ユーティリティ |
| crl | 証明書取消リスト (CRL) の操作 |
| crl2pkcs7 | 証明書取消リスト (CRL) を PKCS#7 形式に変換 |
| dgst | メッセージダイジェストの計算 |
| dhparam | Diffie-Hellman パラメータの生成・管理 |
| dsa | DSA データの処理 |
| dsaparam | DSA パラメータの生成・管理 |
| ec | 楕円曲線暗号鍵の操作 |
| ecparam | 楕円曲線暗号パラメータの生成・管理 |
| enc | 暗号化処理 |
| errstr | エラー番号をエラー文字列に変換 |
| gendsa | DSA 秘密鍵を生成 |
| genpkey | 秘密鍵またはパラメータの生成 |
| genrsa | RSA 秘密鍵の生成 |
| passwd | UNIX パスワードの生成 |
| pkcs12 | PKCS#12 形式の操作 |
| pkcs7 | PKCS#7 形式の操作 |
| pkcs8 | PKCS#8 形式の操作 |
| pkey | 秘密鍵と公開鍵の管理 |
| pkeyparam | 公開鍵暗号アルゴリズムパラメータの管理 |
| rand | 擬似乱数データの生成 |
| req | PKCS#10 (証明書発行要求)形式 の操作 |
| rsa | RSA 鍵の管理 |
| rsautl | RSA による暗号化・復号,署名生成・検証 |
| s_client | SSL/TLS で指定サーバに接続 |
| s_server | SSL/TLS でデータを受け付けるサーバとして動作 |
| s_time | SSL/TLS コネクションタイマ |
| sess_id | SSL/TLS セッションデータ管理 |
| smime | S/MIME メール操作 |
| speed | 暗号アルゴリズム性能の測定 |
| verify | X.509 公開鍵証明書の検証 |
| version | OpenSSL のバージョン表示 |
| x509 | X.509 公開鍵証明書の操作 |
| その他 | その他の操作 |
REQ (PKCS#10)
X509公開鍵証明書の発行要求(CSR: Certificate Signing Request)に関する操作を行う.
- 証明書要求と鍵を生成する.
openssl req -new -keyout key.pem -out cetreq.pem openssl req -newkey rsa:1024 -keyout key.pem -out certreq.pem
- 秘密鍵を生成した後,秘密鍵を用いて証明書要求を生成する.
openssl genrsa -out key.pem 1024 openssl req -new -key key.pem -out certreq.pem
- 証明書要求における署名の正当性を検証する.
openssl req -verify -in certreq.pem
- 指定された秘密鍵を用いて署名要求の署名がなされたことを検証する.
openssl req -verify -in certreq.pem -key key.pem
- 証明書要求の内容を表示する.
openssl req -text -in certreq.pem
- 証明書要求を検証し,内容を表示する.
openssl req -in certreq.pem -text -verify -noout
- 自己署名のルート証明書を生成する.
openssl req -x509 -newkey rsa:1024 -keyout key.pem -out cert.pem
- 指定された鍵を用いて証明書要求から自己署名の X509証明書を生成する.
openssl req -x509 -in req.pem -key key.pem -out cert.pem
X509
X509公開鍵証明書に関する操作を行う.
- PEM形式公開鍵証明書の内容を表示する.
openssl x509 -in cert.pem -noout -text
- 証明書のシリアル番号を表示する.
openssl x509 -in cert.pem -noout -serial
- 証明書の Subject名称を表示する.
openssl x509 -in cert.pem -noout -subject
- 証明書の Subject名称を RFC2253形式で表示する.
openssl x509 -in cert.pem -noout -subject -nameopt RFC2253
- 証明書のSHA1ダイジェストを表示する.
openssl x509 -sha1 -in cert.pem -noout -fingerprint
- PEM形式の証明書を DER形式に変換する.
openssl x509 -in cert.pem -inform PEM -out cert.der -outform DER
- 証明書を証明書要求に変換する.
openssl x509 -x509toreq -in cert.pem -out req.pem -signkey key.pem
- 証明書要求を自己証明書に変換する.
openssl x509 -req -in careq.pem -extfile openssl.cfg -extensions v3_ca -signkey key.pem -out cacert.pem
PKCS7
DER形式またはPEM形式の PKCS#7ファイルを操作する.
- PKCS#7ファイルを PEM形式から DER形式に変換する.
openssl pkcs7 -in file.pem -outform DER -out file.der
- 指定されたファイルに含まれるすべての証明書をファイルに出力する.
openssl pkcs7 -in file.pem -print_certs -out certs.pem
PKCS8
PKCS#8ファイルに関する操作を行う.
- 通常形式の秘密鍵から Triple DES を用いて PKCS#5 v2.0形式に変換する.
openssl pkcs8 -in key.pem -topk8 -v2 des3 -out enckey.pem
- PKCS#5 1.5 互換アルゴリズム(DES)を用いて秘密鍵を PKCS#8形式に変換する.
openssl pkcs8 -in key.pem -topk8 -out enckey.pem
- PKCS#12 互換アルゴリズム(3DES)を用いて秘密鍵を PKCS#8形式に変換する.
openssl pkcs8 -in key.pem -topk8 -out enckey.pem -v1 PBE-SHA1-3DES
- DER形式の暗号化されていない PKCS#8形式秘密鍵を PEM形式に変換する.
openssl pkcs8 -inform DER -nocrypt -in key.der -out key.pem
- PKCS#8形式の秘密鍵を通常形式に変換する.
openssl pkcs8 -in pk8.pem -out key.pem
PKCS12
PKCS#12ファイルに関する操作を行う.
- PKCS#12ファイルの解析を行い,PEMファイルとして出力する.
openssl pkcs12 -in file.p12 -out file.pem
- クライアント証明書のみ (CA証明書を除く)をファイルに出力する.
openssl pkcs12 -in file.p12 -clcerts -out file.pem
- PKCS#12ファイルに関する情報を表示する.
openssl pkcs12 -in file.p12 -info -noout
- PEM形式のファイルより PKCS#12ファイルを生成する.
openssl pkcs12 -export -in file.pem -out file.p12 -name "My Certificate"
- 付加的な証明書を含めた PKCS#12ファイルを生成する.
openssl pkcs12 -export -in file.pem -out file.p12 -name "My Certificate"-certfile othercerts.pem
CA
公開鍵証明書に関する操作を行う.
- 証明書要求から証明書を生成する.
openssl ca -in req.pem -out newcert.pem
- 証明書要求からバージョン3公開鍵証明書を生成する.
openssl ca -in req.pem -extensions v3_ca -out newcert.pem
- CRLを生成する.
openssl ca -gencrl -config openssl.cfg -out crl.pem
- 複数の証明書要求に署名する.
openssl ca -infiles req1.pem req2.pem req3.pem
CRL2PKCS7
失効リストと証明書から PKCS#7ファイルを生成する.
- PEM形式の証明書と失効リストから PEM形式の PKCS#7ファイルを生成する.
openssl crl2pkcs7 -in crl.pem -certfile cert.pem -out p7.pem
- 複数のPEM形式の証明書から失効リストを持たない DER形式の PKCS#7ファイルを生成する.
openssl crl2pkcs7 -nocrl -certfile cacert_1.pem -certfile cacert_2.pem -outform DER -out p7.der
その他の操作
- PEM形式 RSA秘密鍵の表示
openssl rsa -noout -text -in priKey.pem
- PEM形式 RSA公開鍵の表示
openssl rsa -noout -text -in pubKey.pem -pubin
- DSAパラメータファイル (p, q. g) の表示
openssl dsaparam -noout -text -in dsa.prm
- PEM形式 X.509証明書失効リスト(CRL)の内容表示
openssl crl -noout -text -in crl_name.pem
- DER形式ファイルのASN.1解析
openssl asn1parse -inform DER -in keycert.p12
- 暗号アルゴリズムの確認/設定
openssl ciphers -v openssl ciphers -v "AES" openssl ciphers -v "!ADH:RC4+RSA:HIGH:MEDIUM:LOW:EXP:+SSLv2:+EXP"
- メッセージダイジェスト
openssl dgst [-md5|-md2|-sha1|-sha|mdc2|-ripemd160] [-c] [-d] [file...]
- 共通鍵暗号
openssl enc -ciphername [-in filename] [-out filename] [-pass arg] [-e] [-d] [-a] [-A] [-k password] [-kfile filename] [-K key] [-iv IV] [-p] [-P] [-bufsize number] [-debug]
/