がとらぼ

INTAA.NET

サーバでSSLの設定を行って動作確認する時の備忘録。

FreeBSDの場合はルート証明書が標準では入っていないのでca_root_nssをportsかpkgでインストールする。(SSL系のportsをインストールすると一緒に入ることが多い)

# cd /usr/ports/security/ca_root_nss/ && make install clean
若しくは
# pkg install security/ca_root_nss

そして下の様に静的リンクを貼っておけばSSLサイトからfetchでファイルを取る際にエラーにならなくなる。

# ln -s /usr/local/share/certs/ca-root-nss.crt /etc/ssl/cert.pem

以下のコマンドでホスト名(host.example.com)とポート番号(443)を目的のサーバに合わせて変更して実行。

% openssl s_client -CAfile /usr/local/share/certs/ca-root-nss.crt -connect host.example.com:443

以下のような返事が返ればO.K.

CONNECTED(00000003)
depth=3 /C=US/O=Equifax/OU=Equifax Secure Certificate Authority
verify return:1
depth=2 /C=US/O=ExampleSSL/CN=ExampleSSL CA
verify return:1
depth=1 /C=US/O=ExampleSSL/CN=ExampleSSL CA
verify return:1
depth=0 /serialNumber=zzzzzzzzzzzzz/OU=yyyyyyy/OU=See ca.example.com/resources/cps (c)14/OU=Domain Control Validated - ExampleSSL/CN=host.example.com
verify return:1
---
Certificate chain
 0 s:/serialNumber=zzzzzzzzzzzzz/OU=yyyyyyy/OU=See ca.example.com/resources/cps (c)14/OU=Domain Control Validated - ExampleSSL/CN=host.example.com
   i:/C=US/O=ExampleSSL/CN=ExampleSSL CA
 1 s:/C=US/O=ExampleSSL/CN=ExampleSSL CA
   i:/C=US/O=ExampleSSL/CN=ExampleSSL CA
 2 s:/C=US/O=ExampleSSL/CN=ExampleSSL CA
   i:/C=US/O=Equifax/OU=Equifax Secure Certificate Authority
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIwFQYDVQQKEw5HZW9UcnVzdCwgSW5jLjEUMBIGA1UEAxMLUmFwaWRTU0wgQ0Ew
中略
fOuAPeW9HLXns8SWDf4CS6sY0yW1Rl90W+D6BHbARvasF43srIZgU3qa/Ji3XOxU
14XZ7EqUP7A69MRU3NN5DqYLP107kQ==
-----END CERTIFICATE-----
subject=/serialNumber=zzzzzzzzzzzzz/OU=yyyyyyy/OU=See ca.example.com/resources/cps (c)14/OU=Domain Control Validated - ExampleSSL/CN=host.example.com
issuer=/C=US/O=ExampleSSL/CN=ExampleSSL CA
---
No client certificate CA names sent
---
SSL handshake has read 3905 bytes and written 337 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : DHE-RSA-AES256-SHA
    Session-ID: CDF7662C3482D3CB90E21E1C4AF64CC53F1AF7EC6E423169E717B8CDDB457B6B
    Session-ID-ctx: 
    Master-Key: D2E9EADCC8EAFD87945B9A740A156A2
    Key-Arg   : None
    Start Time: 1404014695
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
---
closed

関連記事:

• certbotを使いLet's EncryptでECDSAな証明書を作る 2022年
• Let's EncryptでECDSAな証明書
• Let's Encryptを使う
• ECDSAなSSL証明書を作ってみる
• SSL動作確認 ←いまここ
• NginxでSSL (その勘所)
• ApacheでSSL (その勘所)