例: opensslを使用して証明書を調べる - Advanced SQL Engine - Teradata Database

Teradata Vantage™ - Advanced SQL Engineセキュリティ管理ガイド

Product
Advanced SQL Engine
Teradata Database
Release Number
17.10
Published
2021年7月
Language
日本語
Last Update
2021-09-23
dita:mapPath
ja-JP/ppz1593203596223.ditamap
dita:ditavalPath
ja-JP/wrg1590696035526.ditaval
dita:id
B035-1100
Product Category
Software
Teradata Vantage

OpenSSLを使用して証明書を調べ、適合性を確保することができます。

openssl s_client -connect server_name[:port] </dev/null
server_name
ディレクトリ サーバーのDNS名。
port
[オプショ]SSLがリッスンするポート。
デフォルト: 636

このコマンドでは、次の例のような出力が生成されます。

dlopldap:/etc/openldap/ssl/certs # openssl s_client -connect localhost:636 </dev/null
CONNECTED(00000003)
depth=0 /C=US/CN=dlopldap.td.teradata.com/emailAddress=dl160010@teradata.com
verify error:num=18:self signed certificate
verify return:1
depth=0 /C=US/CN=dlopldap.td.teradata.com/emailAddress=dl160010@teradata.com
verify return:1
---
Certificate chain
 0 s:/C=US/CN=dlopldap.td.teradata.com/emailAddress=dl160010@teradata.com
   i:/C=US/CN=dlopldap.td.teradata.com/emailAddress=dl160010@teradata.com
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIC5DCCAk2gAwIBAgIJAMvJ4ZlaGSiNMA0GCSqGSIb3DQEBBQUAMFYxCzAJBgNV
BAYTAlVTMSEwHwYDVQQDExhkbG9wbGRhcC50ZC50ZXJhZGF0YS5jb20xJDAiBgkq
hkiG9w0BCQEWFWRsMTYwMDEwQHRlcmFkYXRhLmNvbTAeFw0wODA1MTQxOTA4NDJa
Fw0wOTA1MTQxOTA4NDJaMFYxCzAJBgNVBAYTAlVTMSEwHwYDVQQDExhkbG9wbGRh
cC50ZC50ZXJhZGF0YS5jb20xJDAiBgkqhkiG9w0BCQEWFWRsMTYwMDEwQHRlcmFk
YXRhLmNvbTCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEA0QT6CP33QKHsxUWq
jetyHWFtS2rnLPmpDK/tKj+O5Crv0pMlIXertRHy68swSBLm0w//xiVywwQkuA2w
se8Q80lQlBUJkfl9etuNZCrMqjusL3fvSaQlpOpLZLFdICuN+xxuGCqOKuARyI5d
1UkWcQ6r9hlPCGHxXrKlgHRYRIcCAwEAAaOBuTCBtjAdBgNVHQ4EFgQUamJoMI9/
TTS59BUTF1EWoEseNAwwgYYGA1UdIwR/MH2AFGpiaDCPf000ufQVExdRFqBLHjQM
oVqkWDBWMQswCQYDVQQGEwJVUzEhMB8GA1UEAxMYZGxvcGxkYXAudGQudGVyYWRh
dGEuY29tMSQwIgYJKoZIhvcNAQkBFhVkbDE2MDAxMEB0ZXJhZGF0YS5jb22CCQDL
yeGZWhkojTAMBgNVHRMEBTADAQH/MA0GCSqGSIb3DQEBBQUAA4GBAIUbbcrUG3Y0
VXdhAjlAKq95qryTeHE1wiDBmEe1UIC5KyyarGW9tA/sxaJ+9X/zrAwP1ymLn5n9
kIJt3gH7HjjrG1qzC7jRVoI0Yl/z+7QUKejGp0ph1gVl4VwFoRzxv+I2vIUuzyF3
dabR1Q0+lqgc1CHC001VEHEAK8v9k6q1
-----END CERTIFICATE-----
subject=/C=US/CN=dlopldap.td.teradata.com/emailAddress=dl160010@teradata.com
issuer=/C=US/CN=dlopldap.td.teradata.com/emailAddress=dl160010@teradata.com
---
No client certificate CA names sent
---
SSL handshake has read 906 bytes and written 340 bytes
---
New, TLSv1/SSLv3, Cipher is AES256-SHA
Server public key is 1024 bit
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : AES256-SHA
    Session-ID: 1AC1C0A2959387177910D40DBC9EC81887C4A233D907F31BB8BA7EFA7E7E76D3
    Session-ID-ctx:
    Master-Key: 7C6DE241910B1820882D0833976FE4BF4704F163905C7540569C07D5708218A00C542D1E6846DB65E2DE04FD6F0CEC1A
    Key-Arg   : None
    Start Time: 1210794467
    Timeout   : 300 (sec)
    Verify return code: 18 (self signed certificate)
---
DONE

出力の説明:

  • この例は1つの証明書を示しており、また周囲のテキストを含んでいます。
  • BEGIN CERTIFICATE文とEND CERTIFICATE文の間の出力には、ディレクトリ サーバーが発行した証明書が常に表示されます。ディレクトリは複数の証明書を発行できますが、SLまたはTLS構成にとって重要なのは最初の証明書だけです。
  • END CERTIFICATE文の直後にissuerを示す行とsubjectを示す行があります。
    • issuerはその証明書への署名に使用された証明書のIDです。
    • subjectは証明書のIDです。
      /C=US/CN=dlopldap.td.teradata.com/emailAddress=dl160010@teradata.com

      値dlopldap.td.teradata.comを含むCN属性は、検証済みの証明書を識別します。

    • この例のように証明書の発行者と対象者が同じである場合、その証明書は自己署名証明書です。
  • ディレクトリ サーバーによって提供される証明書のリストは証明書チェーンと呼ばれます。