OpenSSL x509 コマンドで証明書の有効期限を確認する方法：徹底解説

この記事では、OpenSSLのx509コマンドを使用して証明書の有効期限を確認する方法について、詳細かつ網羅的に解説します。証明書の基本的な概念から、具体的なコマンド例、スクリプトへの応用、さらにはトラブルシューティングまで、実務で役立つ情報を提供します。

1. 証明書とは何か？

証明書（デジタル証明書、X.509証明書）は、Webサイト、アプリケーション、個人、デバイスなどが誰であるかを証明するための電子的な文書です。これは、身分証明書のようなもので、オンライン上で信頼を確立するために使用されます。

1.1 証明書の構成要素

証明書には、通常、以下の情報が含まれています。

• Subject (サブジェクト): 証明書の所有者の名前。Webサイトであればドメイン名、個人であれば名前など。
• Issuer (発行者): 証明書を発行した認証局（CA）の名前。
• Serial Number (シリアル番号): 証明書を一意に識別するための番号。
• Validity Period (有効期間): 証明書が有効な期間。開始日と終了日が含まれます。
• Public Key (公開鍵): 証明書の所有者の公開鍵。暗号化通信に使用されます。
• Signature Algorithm (署名アルゴリズム): 証明書に署名するために使用されたアルゴリズム。
• Signature (署名): 発行者によって作成された電子署名。証明書の改ざんを検出するために使用されます。
• Extensions (拡張): 追加情報が含まれる場合がある。サブジェクトの代替名 (Subject Alternative Name, SAN) など。

1.2 なぜ証明書が必要なのか？

証明書は、オンラインセキュリティにおいて重要な役割を果たします。

• 認証: Webサイトやアプリケーションが主張する身元が正しいことを確認します。
• 暗号化: 通信を暗号化し、盗聴から保護します。特にHTTPSを使用するWebサイトでは、証明書が必須です。
• 信頼: ユーザーは、証明書によって保護されたWebサイトやアプリケーションを安心して利用できます。

1.3 認証局（CA）とは？

認証局（CA）は、証明書を発行する信頼された第三者機関です。CAは、証明書を要求するエンティティの身元を確認し、証明書を発行することで、そのエンティティの信頼性を保証します。代表的なCAとしては、Let’s Encrypt, DigiCert, GlobalSignなどがあります。

2. OpenSSLとは？

OpenSSLは、SSL/TLSプロトコルを実装するためのオープンソースのツールキットです。暗号化、復号、証明書の作成、署名など、様々な暗号化関連のタスクを実行するために使用されます。OpenSSLには、コマンドラインツールとプログラミングライブラリの両方が含まれています。

2.1 OpenSSLのインストール

OpenSSLは、ほとんどのLinuxディストリビューションにプリインストールされています。インストールされていない場合は、以下のコマンドでインストールできます。

• Debian/Ubuntu: sudo apt-get install openssl
• CentOS/Red Hat: sudo yum install openssl
• macOS: Homebrewを使用する場合は brew install openssl

2.2 OpenSSLの主要なコマンド

OpenSSLには多くのコマンドがありますが、証明書関連でよく使用されるのは以下のコマンドです。

• openssl genrsa: RSA秘密鍵を生成します。
• openssl req: 証明書署名要求（CSR）を作成します。
• openssl x509: 証明書の表示、変換、署名を行います。これが今回の記事の主役です。
• openssl s_client: SSL/TLS接続をテストします。

3. OpenSSL x509 コマンドの使い方

openssl x509コマンドは、証明書を操作するための強力なツールです。このコマンドを使用すると、証明書の内容を表示したり、変換したり、署名したりすることができます。ここでは、証明書の有効期限を確認するために必要なオプションに焦点を当てて解説します。

3.1 基本的な構文

openssl x509 [options] -in <証明書ファイル>

• options: コマンドの動作を制御するためのオプション。
• -in <証明書ファイル>: 処理する証明書ファイルを指定します。

3.2 証明書の有効期限を表示する

証明書の有効期限を表示するには、-datesオプションを使用します。

bash
openssl x509 -in certificate.pem -noout -dates

• -in certificate.pem: certificate.pemという名前の証明書ファイルを処理します。
• -noout: 証明書の内容を標準出力に出力しないようにします。これは、-datesオプションを使用する場合に便利です。
• -dates: 証明書の有効期間の開始日と終了日を表示します。

実行すると、以下のような出力が表示されます。

notBefore=Jun 22 12:00:00 2023 GMT
notAfter=Jun 22 12:00:00 2024 GMT

notBeforeが証明書の有効期間の開始日、notAfterが終了日を表します。

3.3 特定の形式で有効期限を表示する

openssl x509コマンドでは、-datesオプションだけでは出力形式を制御できません。より柔軟な形式で有効期限を表示するには、-textオプションとgrepコマンドを組み合わせることができます。

bash
openssl x509 -in certificate.pem -text | grep -E "Not Before|Not After"

• -text: 証明書の内容をテキスト形式で出力します。
• grep -E "Not Before|Not After": Not BeforeまたはNot Afterを含む行を抽出します。

このコマンドは、-datesオプションと同様の結果を表示しますが、-textオプションを使用することで、証明書の他の情報も同時に確認できます。

3.4 有効期限をエポック秒で表示する

エポック秒（Unixタイム）は、1970年1月1日午前0時0分0秒（UTC）からの経過秒数を表す数値です。エポック秒で有効期限を表示するには、-enddateオプションとunixtimeキーワードを使用します。

bash
openssl x509 -in certificate.pem -noout -enddate unixtime

実行すると、以下のような出力が表示されます。

notAfter=1719057600

これは、証明書の有効期限が1719057600秒のエポック秒であることを意味します。エポック秒は、スクリプトで日付計算を行う際に便利です。

3.5 証明書の情報をJSON形式で取得する

OpenSSLで直接JSON形式で証明書情報を出力する機能はありません。そのため、openssl x509 -textでテキスト形式で情報を取得し、jqなどのJSONプロセッサを使って整形する必要があります。

bash
openssl x509 -in certificate.pem -text |
awk '
BEGIN { FS = "=" }
/Subject:/ { subj = $2; gsub(/^ +/, "", subj); gsub(/ +$/, "", subj) }
/Issuer:/ { issu = $2; gsub(/^ +/, "", issu); gsub(/ +$/, "", issu) }
/Not Before:/ { bfr = $2; gsub(/^ +/, "", bfr); gsub(/ +$/, "", bfr) }
/Not After:/ { aftr = $2; gsub(/^ +/, "", aftr); gsub(/ +$/, "", aftr) }
END {
printf "{\n"
printf " \"subject\": \"%s\",\n", subj
printf " \"issuer\": \"%s\",\n", issu
printf " \"notBefore\": \"%s\",\n", bfr
printf " \"notAfter\": \"%s\"\n"
printf "}\n"
}
'

このコマンドは、証明書のサブジェクト、発行者、有効期間の開始日と終了日をJSON形式で出力します。このJSON出力は、様々なプログラミング言語で簡単に解析できます。

3.6 証明書チェーンの有効期限を確認する

Webサイトの証明書は、通常、ルート証明書、中間証明書、リーフ証明書 (Webサイトの証明書) のチェーンで構成されます。Webブラウザは、このチェーンを検証して、Webサイトの信頼性を確認します。

証明書チェーンの有効期限を確認するには、以下の手順を実行します。

1. 証明書チェーン全体を1つのファイルにまとめる: Webサイトからダウンロードした証明書と、中間証明書（提供されている場合）を、ルート証明書を含めて1つのファイルに連結します。証明書の順序は、リーフ証明書、中間証明書、ルート証明書の順になるようにします。

2. openssl crl2pkcs7コマンドを使用する: 連結された証明書ファイルをopenssl crl2pkcs7コマンドに入力として渡し、-certfileオプションを使用して証明書ファイルを指定します。

3. openssl pkcs7コマンドを使用する: openssl crl2pkcs7コマンドの出力をopenssl pkcs7コマンドに入力として渡し、-print_certsオプションを使用して証明書情報を表示します。

4. 各証明書の有効期限を確認する: 表示された各証明書の情報を確認し、-datesオプションや-textオプションを使用して有効期限を表示します。

bash
openssl crl2pkcs7 -nocrl -certfile chain.pem | openssl pkcs7 -print_certs -noout | openssl x509 -noout -dates

このコマンドは、証明書チェーン内の各証明書の有効期限を表示します。

3.7 リモートサーバーの証明書有効期限を確認する

リモートサーバーの証明書情報を取得するには、openssl s_clientコマンドを使用します。

bash
openssl s_client -showcerts -connect example.com:443 2>/dev/null | openssl x509 -noout -dates

• openssl s_client -showcerts -connect example.com:443: example.comのポート443に接続し、サーバーから送信された証明書チェーンを表示します。
• 2>/dev/null: エラー出力を破棄します。
• openssl x509 -noout -dates: 証明書の有効期限を表示します。

このコマンドは、リモートサーバーの証明書の有効期限を表示します。

4. スクリプトでの応用

openssl x509コマンドは、スクリプトで自動化するのに適しています。例えば、証明書の有効期限が近づいている場合に警告を送信するスクリプトを作成できます。

4.1 Bashスクリプトの例

“`bash

!/bin/bash

CERTIFICATE_FILE=”certificate.pem”
EXPIRATION_THRESHOLD=30 # 有効期限まで30日を切ったら警告

証明書の有効期限をエポック秒で取得

EXPIRATION_DATE=$(openssl x509 -in “$CERTIFICATE_FILE” -noout -enddate unixtime | cut -d ‘=’ -f 2)

現在の日付をエポック秒で取得

CURRENT_DATE=$(date +%s)

有効期限までの残り日数を計算

DAYS_REMAINING=$(( (EXPIRATION_DATE – CURRENT_DATE) / (60 * 60 * 24) ))

警告を送信するかどうかを判定

if [ “$DAYS_REMAINING” -le “$EXPIRATION_THRESHOLD” ]; then
echo “WARNING: Certificate ‘$CERTIFICATE_FILE’ will expire in $DAYS_REMAINING days.”
# メールを送信するなどの処理を追加
fi

echo “Certificate ‘$CERTIFICATE_FILE’ expires in $DAYS_REMAINING days.”
“`

このスクリプトは、以下の処理を行います。

1. 証明書ファイルのパスと、警告を送信するまでの残り日数を設定します。
2. openssl x509コマンドを使用して、証明書の有効期限をエポック秒で取得します。
3. 現在の時刻をエポック秒で取得します。
4. 有効期限までの残り日数を計算します。
5. 残り日数が設定された閾値以下の場合、警告メッセージを表示します。

4.2 Pythonスクリプトの例

“`python
import subprocess
import datetime

CERTIFICATE_FILE = “certificate.pem”
EXPIRATION_THRESHOLD = 30 # 有効期限まで30日を切ったら警告

def get_certificate_expiration_date(certificate_file):
“””証明書の有効期限を取得する”””
command = [“openssl”, “x509”, “-in”, certificate_file, “-noout”, “-enddate”, “unixtime”]
result = subprocess.run(command, capture_output=True, text=True, check=True)
expiration_date_str = result.stdout.strip().split(“=”)[1]
return int(expiration_date_str)

def main():
“””メイン関数”””
expiration_date = get_certificate_expiration_date(CERTIFICATE_FILE)
expiration_datetime = datetime.datetime.fromtimestamp(expiration_date)
current_datetime = datetime.datetime.now()
days_remaining = (expiration_datetime – current_datetime).days

if days_remaining <= EXPIRATION_THRESHOLD:
    print(f"WARNING: Certificate '{CERTIFICATE_FILE}' will expire in {days_remaining} days.")
    # メールを送信するなどの処理を追加
else:
    print(f"Certificate '{CERTIFICATE_FILE}' expires in {days_remaining} days.")

if name == “main“:
main()
“`

このスクリプトは、以下の処理を行います。

1. subprocessモジュールを使用して、openssl x509コマンドを実行します。
2. datetimeモジュールを使用して、エポック秒を日付オブジェクトに変換します。
3. 有効期限までの残り日数を計算します。
4. 残り日数が設定された閾値以下の場合、警告メッセージを表示します。

これらのスクリプトは、cronジョブとして定期的に実行することで、証明書の有効期限を自動的に監視できます。

5. トラブルシューティング

openssl x509コマンドを使用する際に発生する可能性のある問題を以下に示します。

5.1 “unable to load certificate” エラー

このエラーは、証明書ファイルを読み込めない場合に発生します。考えられる原因は以下のとおりです。

• 証明書ファイルが存在しない、またはパスが間違っている。
• 証明書ファイルが破損している。
• 証明書ファイルの形式が正しくない（PEM形式であるべき）。

解決策:

• 証明書ファイルのパスが正しいことを確認します。
• 証明書ファイルが破損していないことを確認します。
• 証明書ファイルがPEM形式であることを確認します。テキストエディタで開いて、-----BEGIN CERTIFICATE-----と-----END CERTIFICATE-----で囲まれていることを確認します。

5.2 “error:0906D06C:PEM routines:PEM_read_bio:no start line” エラー

このエラーは、PEM形式の証明書ファイルではない場合に発生します。

解決策:

• 証明書ファイルがPEM形式であることを確認します。PEM形式は、Base64エンコードされたデータと、ヘッダーとフッター（-----BEGIN CERTIFICATE-----と-----END CERTIFICATE-----）で構成されます。

5.3 “error:140DC009:SSL routines:use_certificate_chain_file:PEM lib” エラー

このエラーは、証明書チェーンファイルに問題がある場合に発生します。考えられる原因は以下のとおりです。

• 証明書の順序が正しくない。リーフ証明書、中間証明書、ルート証明書の順であるべきです。
• 証明書チェーンファイルに不要な情報が含まれている。

解決策:

• 証明書の順序が正しいことを確認します。
• 証明書チェーンファイルから不要な情報（コメントや空白行など）を削除します。

5.4 証明書の有効期限が正しく表示されない

この問題は、タイムゾーンの設定が原因で発生する可能性があります。

解決策:

• TZ環境変数を設定して、タイムゾーンを指定します。例えば、TZ=UTC openssl x509 ...のように実行します。

6. まとめ

この記事では、OpenSSLのx509コマンドを使用して証明書の有効期限を確認する方法について、詳細に解説しました。証明書の基本的な概念から、具体的なコマンド例、スクリプトへの応用、さらにはトラブルシューティングまで、実務で役立つ情報を提供しました。

openssl x509コマンドは、証明書管理における強力なツールであり、Webサイトやアプリケーションのセキュリティを維持するために不可欠です。この記事で紹介した知識を参考に、証明書の有効期限を定期的に確認し、安全なオンライン環境を構築してください。

7. 参考資料

• OpenSSL Documentation: https://www.openssl.org/docs/man1.1.1/man1/openssl.html
• X.509: https://datatracker.ietf.org/doc/html/rfc5280
• Let’s Encrypt: https://letsencrypt.org/
• jq: https://stedolan.github.io/jq/

この記事が、あなたの証明書管理の一助となれば幸いです。