HOMEサンプル問題・例題解説303試験の例題と解説325.1 X.509 証明書と公開鍵の基礎

303試験の例題と解説

325.1 X.509 証明書と公開鍵の基礎

 303試験の試験範囲から「325.1 X.509 証明書と公開鍵の基礎」についての例題を解いてみます。

■トピックの概要
このトピックの内容は以下の通りです。

<325.1 X.509 証明書と公開鍵の基礎>
重要度     5

<説明>
・X.509 証明書と公開鍵の基礎について理解していることが求められる。
・OpenSSLを使用しての認証局を作成したり、さまざまな目的にSSL証明書の発行する方法も含まれる。

<主要な知識範囲>    
・X.509 証明書、X.509 証明書のライフサイクル、X.509 証明書のフィールドおよびX.509v3 証明書の拡張についての理解。
・トラストチェーンと公開鍵の基礎についての理解。
・公開鍵と秘密鍵の生成と管理。
・セキュアな認証局の作成と運用。
・サーバー証明書とクライアント証明書の要求、署名、管理。
・証明書と認証局の廃止。

<重要なファイル、用語、ユーティリティ>
・opensslとそのサブコマンド
・OpenSSL の設定
・PEM, DER, PKCS
・CSR
・CRL
・OCSP


■例題
opensslコマンドにおいて、
SSl/TLSを使用してリモートサーバとの接続に関するテストを実施するサブコマンドを答えよ。

※この例題は実際の試験とは異なります。

解答と解説

答えは s_client です。

以下の例では、TLS1.2を使ってリモートサーバと接続をしており、サーバ証明書等に関する情報を確認することができます。

bash-3.2$ openssl s_client -connect opensourcetech.hatenablog.jp:443 -tls1_2
CONNECTED(00000006)
depth=3 C = SE, O = AddTrust AB, OU = AddTrust External TTP Network, CN = AddTrust External CA Root
verify error:num=19:self signed certificate in certificate chain
verify return:0
---
Certificate chain
 0 s:/OU=Domain Control Validated/OU=PositiveSSL Multi-Domain/CN=hatenablog.com
   i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA
 1 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA
   i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority
 2 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority
   i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
 3 s:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
   i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIFsTCCBJmgAwIBAgIQaFIv6AMNstTSxBuJ3xgeZTANBgkqhkiG9w0BAQsFADCB
kDELMAkGA1UEBhMCR0IxGzAZBgNVBAgTEkdyZWF0ZXIgTWFuY2hlc3RlcjEQMA4G
A1UEBxMHU2FsZm9yZDEaMBgGA1UEChMRQ09NT0RPIENBIExpbWl0ZWQxNjA0BgNV
BAMTLUNPTU9ETyBSU0EgRG9tYWluIFZhbGlkYXRpb24gU2VjdXJlIFNlcnZlciBD
QTAeFw0xNzA5MjUwMDAwMDBaFw0xODA5MjUyMzU5NTlaMF8xITAfBgNVBAsTGERv
bWFpbiBDb250cm9sIFZhbGlkYXRlZDEhMB8GA1UECxMYUG9zaXRpdmVTU0wgTXVs
dGktRG9tYWluMRcwFQYDVQQDEw5oYXRlbmFibG9nLmNvbTCCASIwDQYJKoZIhvcN
AQEBBQADggEPADCCAQoCggEBAKu1zfkyG78oMPg5WU6D2qpKg8by/IcX/mbxCCAY
mvnMCQN3OUQCYYWQNe4PZ+MKogo+/Hf0vr44TZvZU4byVusqIeapGf2h0m/Djex2
2rZIOSNV4sutfjTcUxSRi/QbbZG1cjb/u1933KChjOUH0efL07B/8x4siY4BQQKX
0bgi9Ojd/r1Pybv7jioVDz/fISgaKpSIV4mGUX3qxsfsSoPDP8+Qgc3z/8QZHDO4
Y+l/j0rLNY5FEO4zsgQSV/3nZiIYPrzePFkvPYVsXkFFGJ/3t+At2a4XeoQMuy8F
fioQz6PPq3WbFaaIF9PrZzHfglWs6LgwL6S+P28Gmt2aPKcCAwEAAaOCAjUwggIx
MB8GA1UdIwQYMBaAFJCvajqUWgvYkOoSVnPfQ7Q6KNrnMB0GA1UdDgQWBBSpWt47
WBfsZQe/kjAQF7KJwlB1vDAOBgNVHQ8BAf8EBAMCBaAwDAYDVR0TAQH/BAIwADAd
BgNVHSUEFjAUBggrBgEFBQcDAQYIKwYBBQUHAwIwTwYDVR0gBEgwRjA6BgsrBgEE
AbIxAQICBzArMCkGCCsGAQUFBwIBFh1odHRwczovL3NlY3VyZS5jb21vZG8uY29t
L0NQUzAIBgZngQwBAgEwVAYDVR0fBE0wSzBJoEegRYZDaHR0cDovL2NybC5jb21v
ZG9jYS5jb20vQ09NT0RPUlNBRG9tYWluVmFsaWRhdGlvblNlY3VyZVNlcnZlckNB
LmNybDCBhQYIKwYBBQUHAQEEeTB3ME8GCCsGAQUFBzAChkNodHRwOi8vY3J0LmNv
bW9kb2NhLmNvbS9DT01PRE9SU0FEb21haW5WYWxpZGF0aW9uU2VjdXJlU2VydmVy
Q0EuY3J0MCQGCCsGAQUFBzABhhhodHRwOi8vb2NzcC5jb21vZG9jYS5jb20wgYIG
A1UdEQR7MHmCDmhhdGVuYWJsb2cuY29tggwqLmhhdGVibG8uanCCECouaGF0ZW5h
YmxvZy5jb22CDyouaGF0ZW5hYmxvZy5qcIIRKi5oYXRlbmFkaWFyeS5jb22CECou
aGF0ZW5hZGlhcnkuanCCEWJsb2cuaGF0ZW5hLm5lLmpwMA0GCSqGSIb3DQEBCwUA
A4IBAQAVUJL2XjS7irCoRDwCMMed0v2s7psIb8tsbGG5qmJD2BVw9O8wJtpiLXFE
DcJrd6yMy4RS7zjPP2ov0JiNp/M/mr4IswFfIz7wpRGZPrtzsqbpSQQzZRFx3DkU
MkJQt9IpCQYDJcl0Z9T5sBc5nJ+4WSi+/jZ6558F17EkBuZiv2BhE0mOc9eY65jr
82lvzVwjgx1hNXZx7j3LQw3DjNkvYlNkpNwzyULj4yqw7126o3MzzqHXZzz71/ad
ojBVIUnMtbzejbFNRk5rqAUnyvvyIei3mtpBhdh68pOflJSUnI8GrPYllh4+pshY
OX6AKH+KsvclnV2FfID9ZfZkJTv3
-----END CERTIFICATE-----
subject=/OU=Domain Control Validated/OU=PositiveSSL Multi-Domain/CN=hatenablog.com
issuer=/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA
---
No client certificate CA names sent
---
SSL handshake has read 6250 bytes and written 524 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: B955046A742FF285B505E14EC1FCCB71739A294989A4462893A81C6DE02B1C65
    Session-ID-ctx:
    Master-Key: 656E2C9009C5B06990D05DC13197E09DB0AE7C4ABC1F5062A5C605839BA9D6AC30AE6BDC28C2E8348D4E17178D812627
    TLS session ticket lifetime hint: 300 (seconds)
    TLS session ticket:
    0000 - f4 a3 de 77 d7 27 d5 2c-28 9a 08 39 74 d5 c8 44   ...w.'.,(..9t..D
    0010 - dd 73 64 a3 21 d3 c3 cd-ed 14 12 cd d0 99 fd cd   .sd.!...........
    0020 - 88 7b cc 66 1c a3 aa e4-10 cd b2 54 cd 68 4a f9   .{.f.......T.hJ.
    0030 - 07 22 25 a3 0c 7c 68 eb-de cc 49 0e 44 06 3e 98   ."%..|h...I.D.>.
    0040 - dc b0 30 01 bb b4 c7 06-54 e2 06 2b 42 6c fc bd   ..0.....T..+Bl..
    0050 - 43 5c ea 1b 37 5a b0 8c-86 96 82 6e cf d1 c2 4b   C ..7Z.....n...K
    0060 - a4 2c b8 04 b3 6d 45 98-f5 a3 7e 07 34 99 58 8b   .,...mE...~.4.X.
    0070 - e7 bb 92 e7 e6 b0 2a 7a-32 e8 8b 98 92 de 52 cb   ......*z2.....R.
    0080 - bd 40 3e 25 a8 cc 86 1d-1a 49 8a 69 00 76 ce b7   .@>%.....I.i.v..
    0090 - 69 c0 8d d2 19 ce da 8f-99 2e 3e 54 a9 a5 53 19   i.........>T..S.
    00a0 - 58 46 2c 5b 7c 67 30 41-06 d8 e2 29 9d fc 17 5f   XF,[|g0A...)..._

    Start Time: 1529201523
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)
---


また、s_clientの他にはopensslコマンドには以下のようなサブコマンドがあります。
-------
s_server:SSL/TLS接続を受け入れるサーバを実装する
req:CSR(証明書署名リクエスト)の管理に使用する
x509:X.509証明書データの管理に使用する
verify:X.509証明書の検証に使用する
ocsp:OCSP(Online Certificate Status Protocol)関連のユーティリティ
genrsa:RSA秘密鍵の生成を行う
crl:CRL(証明書失効リスト)の管理を行う


なお、opensslコマンドに関する詳細は以下で確認できます。
https://www.openssl.org/docs/manmaster/man1/openssl.html


■例題作成者
鯨井 貴博 氏(登録インストラクター、LPI-Japanアカデミック認定校 Zeus IT Camp)

  • 今回の解説について、理解できないポイントがあればどんどん質問を。
  • 採用になった方にはLPI-Japanオリジナルの記念品を贈呈します。
  • ご質問・ご意見はこちら
  • ※上記の解説とその内容については、例題作成者の監修です。
    内容や試験問題に関わるお問い合わせにつきましては、LPI-Japan事務局ではお応えできませんのでご了解ください。

このページのトップへ