【sslについて】

sslについて教えてください。
様々な書籍、サイトを見てsslの設定をしているのですが、拡張子がたくさんあってよくわかりません。

.key(秘密鍵ファイル)
.crt(公開鍵? 証明書?)
.csr(証明書? 公開鍵?)
.crl(???)
.pem(???)

これらの拡張子は、それぞれどんな意味があるのでしょうか?

.keyファイルは、SSLCertificateKeyFileで指定する秘密鍵というのはわかるのですが、
SSLCertificateFileの方に指定するものが、.csrになっている解説や.crtになっている説明があり、混乱してきました。

.csrや.crtファイルの違いや、その他のファイルの意味や使い分け等を教えてください。

どうぞ、よろしくお願いします。

回答の条件
  • 1人3回まで
  • 登録:2007/08/27 17:10:06
  • 終了:2007/09/01 11:59:21

ベストアンサー

id:tezcello No.2

tezcello回答回数457ベストアンサー獲得回数682007/08/27 22:04:55

ポイント50pt

サフィックス(拡張子)には特に意味はなく、Windows の様に用途が決められる訳ではないです。

チャンと判っていれば、全てのファイルを .dat としてもいいですし、サフィックスなしでも構いません。

ファイルを作った時にどの名前を指定したかという事と、ある処理をするのに必要なファイルをキチンと指定出来てるかだけが重要です。


ネット上の情報(この回答も含めて)は、間違いが無いということは無いですし、内容を理解せずに掲載(要するに転載しているだけ)のページも多いです。

  keyの値や、例として挙げている内容(時にはミスさえも)まで全く同じ

  なんてサイトもあります。

出来るなら、オフィシャルなサイトの記述を読む、manページを読む、複数サイトで確認する...などの努力が必要です。

それぞれのファイルやオプション、引数が何を意味しているかを知らずに使うと、後で怖い目に遭うかもしれません。


例で挙げられたものは、それらの略語の様ですね。

  • 秘密鍵(Private Key)
  • 証明書発行要求(CSR : Certificate Signing Request)
  • 証明書(CRT : Certificate)
  • 証明書失効リスト(CRL : Certification Revocation List)

で、それらには

DER(Distinguished Encoding Rules)形式

PEM(Privacy Enhanced Mail)形式

がある様です。

PEM形式は、DER形式(バイナリ)をBASE64で可視化したものです。(その時にパスワードで暗号化することも出来ます)


なので、Windows的にファイル名を書くなら、crt.pem とか

crl.pem って感じでしょうか。

ファイルを1セットしか作らない場合は問題ないですが、複数作る時はダメですね。

id:hina1981

> サフィックス(拡張子)には特に意味はなく、Windows の様に用途が決められる訳ではないです。

確かに、Linuxでは拡張子の概念がないのは知っているのですが、様々な文献でごちゃごちゃになっていたので、質問させていただきました。

特に、.csrと.crtの意味が確認できたのがよかったです。

ありがとうございました。

2007/08/27 23:33:16

その他の回答(1件)

id:yocchan731 No.1

yocchan731回答回数119ベストアンサー獲得回数142007/08/27 17:49:50

ポイント50pt

.keyは公開鍵と対になる秘密鍵です.

.csrはCertificate Signing Requestの略でCAに署名要求するものです.中身は公開鍵等.

.crtはcsrに署名が行われた公開鍵証明書.

.pemは公開鍵証明書等をBASE64化したもの.

.crlは・・・たぶん証明書失効リストです.

SSLCertificateFileにcrtを

SSLCertificateKeyFileにkeyを指定すれば良いと思いますが,

拡張子は拡張子なので,.csrと書いてあっても中身は.crtという可能性もあります.

id:hina1981

ありがとうございます。

大体、思っていた通りだったので、安心しました。


とある本で、

「下記のコマンドで、server.crtというファイルが作成されます」

との記述があり、実際にコマンドを打ってみると、server.csrファイルができたので質問させていただきました。

実際のところ、.csrの状態(CAで証明されていない状態)でも、暗号化のみであればかけることができますよね。

2007/08/27 23:29:45
id:tezcello No.2

tezcello回答回数457ベストアンサー獲得回数682007/08/27 22:04:55ここでベストアンサー

ポイント50pt

サフィックス(拡張子)には特に意味はなく、Windows の様に用途が決められる訳ではないです。

チャンと判っていれば、全てのファイルを .dat としてもいいですし、サフィックスなしでも構いません。

ファイルを作った時にどの名前を指定したかという事と、ある処理をするのに必要なファイルをキチンと指定出来てるかだけが重要です。


ネット上の情報(この回答も含めて)は、間違いが無いということは無いですし、内容を理解せずに掲載(要するに転載しているだけ)のページも多いです。

  keyの値や、例として挙げている内容(時にはミスさえも)まで全く同じ

  なんてサイトもあります。

出来るなら、オフィシャルなサイトの記述を読む、manページを読む、複数サイトで確認する...などの努力が必要です。

それぞれのファイルやオプション、引数が何を意味しているかを知らずに使うと、後で怖い目に遭うかもしれません。


例で挙げられたものは、それらの略語の様ですね。

  • 秘密鍵(Private Key)
  • 証明書発行要求(CSR : Certificate Signing Request)
  • 証明書(CRT : Certificate)
  • 証明書失効リスト(CRL : Certification Revocation List)

で、それらには

DER(Distinguished Encoding Rules)形式

PEM(Privacy Enhanced Mail)形式

がある様です。

PEM形式は、DER形式(バイナリ)をBASE64で可視化したものです。(その時にパスワードで暗号化することも出来ます)


なので、Windows的にファイル名を書くなら、crt.pem とか

crl.pem って感じでしょうか。

ファイルを1セットしか作らない場合は問題ないですが、複数作る時はダメですね。

id:hina1981

> サフィックス(拡張子)には特に意味はなく、Windows の様に用途が決められる訳ではないです。

確かに、Linuxでは拡張子の概念がないのは知っているのですが、様々な文献でごちゃごちゃになっていたので、質問させていただきました。

特に、.csrと.crtの意味が確認できたのがよかったです。

ありがとうございました。

2007/08/27 23:33:16

コメントはまだありません

この質問への反応(ブックマークコメント)

トラックバック

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません