開発用のPKCS#12ファイルをOpenSSLで出来るだけ速く作る

「電子署名法」に則るにはセキュリティトークンが必要で、デジタル署名をちょっと試したいケースならPKCS#12が手っ取り早いです。

2019年現在ではマイナンバーカードが流通し始め、インターネット上で公的な申請が完了できる体制が整いつつあります。日本は古式ゆかしい申請制度がしっかりしているのでなかなか諸外国より電子化が進みませんが、近い将来「ちょっと役所まで行ってくる」なんてこともなくなっていくはずです。でも、転居届を出したり、家を買ったり、会社を立ち上げたりした時の公的な申請は、アマゾンで買い物をする時のオンライン注文とは重みが違いますよね。本人が役所や会社に出向かないのにどうやって「本人による申請」であり、「申請内容が正...

今回は可能な限り速く、開発に使えるテスト用のPKCS#12ファイルを作ります。
OpenSSLが入っているなら以下の4コマンドで作れます。

openssl genrsa -aes256 -out ./prvkey.pem 2048
openssl req -new -key ./prvkey.pem -out req.csr
openssl x509 -req -in req.csr -signkey prvkey.pem -out pubkey.crt -days 36500
openssl pkcs12 -export -in pubkey.crt -inkey prvkey.pem -out forTest.p12

また、以下の記事のようにオレオレなサーバ証明書を作って使っている場合、サーバ証明書とサーバ秘密鍵を4番目のコマンド纏めてしまえば1コマンドでテスト用p12ファイルの完成です。

One IT Thing

HTTPS開発環境用、自己署名証明書の作成

https://one-it-thing.com/63

（2020/09/18追記）mkcertを使ってより簡単に完璧なSSL証明書を作ることができました。ささっと開発用のHTTPSサーバを作りたい時はmkcert使った方が良いですね。以下投稿内容だとAndroid7以上のChromeで接続出来ません。すっかりHTTPS必須の時代になり、それに併せてPWA関連、Payment Request API等、HTTPS環境下でないと機能しないAPIが出てきました。開発を簡便にする為にlocalhostへのアクセスであれば動作する措置が取られていたりしますが、それでもスマホ実機からサーバにアクセスする際はURLがlocalhostでは無くなる為エラー...

サクッと作れるようにして行きましょう。

1 今回作るもの
2 環境
3 p12ファイル作成手順

今回作るもの

リモートに申請する際にデジタル署名を掛ける為のp12（PKCS#12）ファイルを作ります。

環境

Windows 10
Cygwin
openssl 1.1.1c

C:\openssl>openssl version
OpenSSL 1.1.1c  28 May 2019

C:\openssl>which openssl
/usr/bin/openssl

未インストールの場合は以下から1.1.1をインストール。

slproweb.com

Win32/Win64 OpenSSL Installer for Windows - Shining Light Productions

https://slproweb.com/products/Win32OpenSSL.html

p12ファイル作成手順

１．秘密鍵作成

openssl genrsa -aes256 -out ./prvkey.pem 2048

C:\openssl>openssl genrsa -aes256 -out ./prvkey.pem 2048
Generating RSA private key, 2048 bit long modulus (2 primes)
.....................................+++++
....................................+++++
e is 65537 (0x010001)
Enter pass phrase for ./prvkey.pem: （hogehoge）
Verifying - Enter pass phrase for ./prvkey.pem:

２．証明書リクエスト作成

openssl req -new -key ./prvkey.pem -out req.csr

C:\openssl>openssl req -new -key ./prvkey.pem -out req.csr
Enter pass phrase for ./pubkey.pem:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:JP
State or Province Name (full name) []:Tokyo
Locality Name (eg, city) [Default City]:Katsushika
Organization Name (eg, company) [Default Company Ltd]:（会社名）
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

３．証明書付き公開鍵作成

openssl x509 -req -in req.csr -signkey prvkey.pem -out pubkey.crt -days 36500

C:\openssl>openssl x509 -req -in req.csr -signkey prvkey.pem -out pubkey.crt -days 36500
Signature ok
subject=C = JP, ST = Tokyo, L = Katsushika, O = （会社名）
Getting Private key
Enter pass phrase for prvkey.pem: （hogehoge）

４．p12ファイル作成

秘密鍵、証明書付き公開鍵を1ファイルに纏めたファイルを作成します。

openssl pkcs12 -export -in pubkey.crt -inkey prvkey.pem -out forTest.p12

C:\openssl>openssl pkcs12 -export -in pubkey.crt -inkey prvkey.pem -out forTest.p12
Enter pass phrase for prvkey.pem: （hogehoge）
Enter Export Password:（hogehoge）
Verifying - Enter Export Password:（hogehoge）

パスワードが「hogehoge」のp12ファイルが出来ました。OpenSSLさえ入っていれば数分で作れますね。

次回は今回作ったforTest.p12ファイルで電子署名をかけ、署名値の検証をしてみます。

One IT Thing

Javascript（暗号化JSライブラリ「Forge」）とp12ファイルで署名値を作成、Javaで...

https://one-it-thing.com/5644

前回、送信データの改ざんを検知する為、簡易的なセキュリティトークンであるPKCS#12形式のファイルを作成しました。今回はクライアントとサーバの二者間でデータが改ざんされていないことを確認する為、ブラウザ（Javascript）で送信データの署名値を作るJava（サーバ想定）で署名値を検証する上図が可能か検証していきたいと思います。ブラウザ単体でp12ファイルを使えるかどうか調べる大抵の言語ではp12ファイルから秘密鍵、証明書（公開鍵）を取り出すコアAPIやライブラリが在りますがブラウザ上のjavascriptではどうなのでしょう...