OpenSSLを使用して証明書を調べ、適合性を確保することができます。
openssl s_client -connect server_name:port> </dev/null
説明:
- server_nameは、ディレクトリ サーバーのDNS名です。
- portはSSLがリッスンするポートで、通常は636(デフォルト)です。
このコマンドでは、次の例のような出力が生成されます。
dlopldap:/etc/openldap/ssl/certs # openssl s_client -connect localhost:636 </dev/null CONNECTED(00000003) depth=0 /C=US/CN=dlopldap.td.teradata.com/emailAddress=dl160010@teradata.com verify error:num=18:self signed certificate verify return:1 depth=0 /C=US/CN=dlopldap.td.teradata.com/emailAddress=dl160010@teradata.com verify return:1 --- Certificate chain 0 s:/C=US/CN=dlopldap.td.teradata.com/emailAddress=dl160010@teradata.com i:/C=US/CN=dlopldap.td.teradata.com/emailAddress=dl160010@teradata.com --- Server certificate -----BEGIN CERTIFICATE----- MIIC5DCCAk2gAwIBAgIJAMvJ4ZlaGSiNMA0GCSqGSIb3DQEBBQUAMFYxCzAJBgNV BAYTAlVTMSEwHwYDVQQDExhkbG9wbGRhcC50ZC50ZXJhZGF0YS5jb20xJDAiBgkq hkiG9w0BCQEWFWRsMTYwMDEwQHRlcmFkYXRhLmNvbTAeFw0wODA1MTQxOTA4NDJa Fw0wOTA1MTQxOTA4NDJaMFYxCzAJBgNVBAYTAlVTMSEwHwYDVQQDExhkbG9wbGRh cC50ZC50ZXJhZGF0YS5jb20xJDAiBgkqhkiG9w0BCQEWFWRsMTYwMDEwQHRlcmFk YXRhLmNvbTCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEA0QT6CP33QKHsxUWq jetyHWFtS2rnLPmpDK/tKj+O5Crv0pMlIXertRHy68swSBLm0w//xiVywwQkuA2w se8Q80lQlBUJkfl9etuNZCrMqjusL3fvSaQlpOpLZLFdICuN+xxuGCqOKuARyI5d 1UkWcQ6r9hlPCGHxXrKlgHRYRIcCAwEAAaOBuTCBtjAdBgNVHQ4EFgQUamJoMI9/ TTS59BUTF1EWoEseNAwwgYYGA1UdIwR/MH2AFGpiaDCPf000ufQVExdRFqBLHjQM oVqkWDBWMQswCQYDVQQGEwJVUzEhMB8GA1UEAxMYZGxvcGxkYXAudGQudGVyYWRh dGEuY29tMSQwIgYJKoZIhvcNAQkBFhVkbDE2MDAxMEB0ZXJhZGF0YS5jb22CCQDL yeGZWhkojTAMBgNVHRMEBTADAQH/MA0GCSqGSIb3DQEBBQUAA4GBAIUbbcrUG3Y0 VXdhAjlAKq95qryTeHE1wiDBmEe1UIC5KyyarGW9tA/sxaJ+9X/zrAwP1ymLn5n9 kIJt3gH7HjjrG1qzC7jRVoI0Yl/z+7QUKejGp0ph1gVl4VwFoRzxv+I2vIUuzyF3 dabR1Q0+lqgc1CHC001VEHEAK8v9k6q1 -----END CERTIFICATE----- subject=/C=US/CN=dlopldap.td.teradata.com/emailAddress=dl160010@teradata.com issuer=/C=US/CN=dlopldap.td.teradata.com/emailAddress=dl160010@teradata.com --- No client certificate CA names sent --- SSL handshake has read 906 bytes and written 340 bytes --- New, TLSv1/SSLv3, Cipher is AES256-SHA Server public key is 1024 bit Compression: NONE Expansion: NONE SSL-Session: Protocol : TLSv1 Cipher : AES256-SHA Session-ID: 1AC1C0A2959387177910D40DBC9EC81887C4A233D907F31BB8BA7EFA7E7E76D3 Session-ID-ctx: Master-Key: 7C6DE241910B1820882D0833976FE4BF4704F163905C7540569C07D5708218A00C542D1E6846DB65E2DE04FD6F0CEC1A Key-Arg : None Start Time: 1210794467 Timeout : 300 (sec) Verify return code: 18 (self signed certificate) --- DONE
出力の説明:
- この例は1つの証明書を示しており、また周囲のテキストを含んでいます。
- BEGIN CERTIFICATE文とEND CERTIFICATE文の間の出力には、ディレクトリ サーバーが発行した証明書が常に表示されます。ディレクトリは複数の証明書を発行できますが、SLまたはTLS構成にとって重要なのは最初の証明書だけです。
- END CERTIFICATE文の直後にissuerを示す行とsubjectを示す行があります。
- issuerはその証明書への署名に使用された証明書のIDです。
- subjectは証明書のIDです。
/C=US/CN=dlopldap.td.teradata.com/emailAddress=dl160010@teradata.com
値dlopldap.td.teradata.comを含むCN属性は、検証済みの証明書を識別します。
- この例のように証明書の発行者と対象者が同じである場合、その証明書は自己署名証明書です。
- ディレクトリ サーバーによって提供される証明書のリストは証明書チェーンと呼ばれます。