3つの鍵

サイトをHTTPSにする際もちろんOpenSSLで秘密鍵と公開鍵を用意する必要があるので、開発用にオレオレ証明証をとりあえず作成している。 一応開発時にもHTTPSでサーバーを立てているので、なんか鍵を用意するしている。 結構このあたりの知識はあやふやで、公開鍵と秘密鍵の二つ必要だったけ、とOpenSSLで作成している。 ```bash openssl genrsa -out develop.key 4096 openssl rsa -in develop.key -out develop.crt -pubout ``` (開発用なのでAESで暗号化まではしてないです・・・) のだが、これを使ってnode.jsのHTTPSサーバーを立てるとエラーが起きた。 ```bash (node:5695) UnhandledPromiseRejectionWarning: Error: error:0906D06C:PEM routines:PEM_read_bio:no start line ``` <div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjtR9ntWQ125x-Zi_27VDmBwSGteuZV75rp0LSCRAIpn89XDmMiAlJXtc5QqtscXxD-nlgX0jUx8j9U1UzuPjDf5mvDUJt90aO9BNSf2UO58sNqYy364i1nSm4cSQahmnAnUDZkueuKsMA/s1600/wait.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjtR9ntWQ125x-Zi_27VDmBwSGteuZV75rp0LSCRAIpn89XDmMiAlJXtc5QqtscXxD-nlgX0jUx8j9U1UzuPjDf5mvDUJt90aO9BNSf2UO58sNqYy364i1nSm4cSQahmnAnUDZkueuKsMA/s1600/wait.png" data-original-width="60" data-original-height="105" /></a></div> <div style="text-align: center;">鍵がおかしいっていわれているぞ？</div> ちゃんと公開鍵と秘密鍵の二つ用意しているはずなのでエラーが起きている。 なので検索してみると、公開鍵を設定するのではなくてデジタル証明書を設定する必要があるとのこと <div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjhSIgaNs_Gn2upPJ_2hpeKX8ipWv72bwDS9l0xc3NLABbm_V82BalMiEjLc6T5zC5VYcbYttjeLGoNSN9QVQk601b4seu2UjkVtLW94BlZODZ-eh91ufY2ezTagRAHq6XR3Nc-xvrNgiA/s1600/adapt_to_comics.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjhSIgaNs_Gn2upPJ_2hpeKX8ipWv72bwDS9l0xc3NLABbm_V82BalMiEjLc6T5zC5VYcbYttjeLGoNSN9QVQk601b4seu2UjkVtLW94BlZODZ-eh91ufY2ezTagRAHq6XR3Nc-xvrNgiA/s1600/adapt_to_comics.png" data-original-width="210" data-original-height="135" /></a></div> <div style="text-align: center;">鍵が3種類もあるだと！？</div> 公開鍵だけだとその鍵が本当に使用者のものなのかわからないため、その鍵の所有者を証明するデジタル証明書が必要になる。 デジタル証明書もOpenSSLで作成でき、その際に秘密鍵と公開鍵の二つ指定する必要がある。 ```bash openssl x509 -in ssl/develop.csr -days 565000 -req -signkey ssl/develop.key > ssl/develop.crt ``` このデジタル証明書、一般公開する際は認証局(CA：Certificate Authority)という機関に申請し許可を得たものを使用しなければいけない。 そもそもなんで認証局が必要かというと、通信途中のルータやらなんやらの中で公開鍵の改竄ができてしまうからだ。 なので、セキュリティ的に重要なものには必ず認証局のお墨付きをもらったものを使いましょう。 今回は開発用なのでいわゆるオレオレ証明書を使う。 ## 3つの鍵の効果 秘密鍵と公開鍵、デジタル証明書を使うことで以下の恩恵を受けることができる。 1. 通信内容の暗号化 2. 通信相手の身元証明 あと、改竄があったらわかるという利点もある。 ## 終わりに オレオレ証明書は身元の証明が行えないので、公開するサーバーには決して使わないようにしましょう。 [オレオレ証明書を使いたがる人を例を用いて説得する](https://qiita.com/Sheile/items/dc91128e8918fc823562) <span style="font-size: 6px;">けど、認証局のお墨付きはお金かかるし個人的なちょっとしたものにはこっそりと使う分には多めに見てほしい</span>

（画像は以下のものを使用させていただきました。）