Windows OpenSSL 無しで pem 形式のサーバー証明書と秘密鍵を IP アドレスベースで作成する (node.js版)
node.js で node-forge
というパッケージを使用して pem 形式のサーバー証明書と秘密鍵を .pem 形式で作成する方法を紹介します。また既存の .pfx
ファイルからサーバー証明書や秘密鍵を pem 形式で出力する方法も紹介します。
やりたいこと
以前 Python や PowerShell を使って自己署名のサーバー証明書 (所謂オレオレ証明書) や秘密鍵を pem 形式で作成する方法を紹介したのですが、JavaScript で開発している人こそ https をより使うのでは、ということで node.js 環境で node-forge
というパッケージを使用して pem 形式のサーバー証明書や秘密鍵を作成してみたいと思います。また既存の .pfx
ファイルからサーバー証明書や秘密鍵を .pem
形式で取り出してみます。なお、IP アドレスベースでの証明書の作り方で紹介していますが、ドメインの証明書の作り方も触れていますので参考にしてください。
環境
- OS
- Microsoft Windows 10 21H2
- node.js
- v20.10.0
- node-forge
- 1.3.1
準備
node-forge
をインストールします。
ES Modules 派なんですが、node-forge
は ES Modules 対応されていないので、念のため package.json
の "type"
が設定されていないか "commonjs"
となっているか確認してください。
If the nearest parent
package.json
lacks a"type"
field, or contains"type": "commonjs"
, .js files are treated as CommonJS.
- Modules: Packages | Node.js v21.7.1 Documentation
また以下の手順では適当なスクリプトファイル (index.js 等) を作成して node index.js
で実行してもよいですし、node
で対話型コマンドラインを立ち上げて逐次実行しても問題ありませんので好きなやり方で実行してください。
証明書と秘密鍵を新規作成して pem 形式で出力する方法
キーペアの作成
まずは秘密鍵と公開鍵のペアを作成します。
証明書や秘密鍵を PEM 形式で作成する場合は pki
モジュールのみインポートすれば大丈夫です。また後程使用するので fs.writeFileSync
もインポートしておきます。
ここでは RSA で作成していますが ED25519 にも対応しています。
証明書の初期設定
-
pki.createCertificate()
で X.509 オブジェクトを作成します。 -
cert.publicKey
に前項で作成したキーペアの公開鍵を設定します。 -
cert.serialNumber
に適当な数字文字列を設定します。シリアルナンバーは RFC では以下の通り発行する CA 内で一意にする必要がありますが、まあオレオレ証明書なので自分で識別できれば気にしなくて大丈夫でしょう。 デフォルトで
'00'
が設定されているので、そもそも設定しなくてもよいかもしれません。The serial number MUST be a positive integer assigned by the CA to each certificate. It MUST be unique for each certificate issued by a given CA (i.e., the issuer name and serial number identify a unique certificate). CAs MUST force the serialNumber to be a non-negative integer.
- RFC 5280: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile -
cert.validity.notBefore
とcert.validity.notAfter
で証明書有効期限を設定します。ここでは一旦本日から 1 年間とします。
証明書コンテンツの設定
-
以下の通り Subject 設定用オブジェクトを用意します。
ここでは
shortName: 'CN'
のように X.500 の DN (Distinguished Name) ベースで設定していますが、name: 'commonName'
のように設定することもできます。
なお、IP アドレスではなくドメイン名で証明書を作成する場合はCN
のvalue
は IP アドレスではなくドメイン名にしてください。 -
Subject を設定します。またオレオレなので Issuer にも同内容で設定します。
-
次に Extension 設定用のオブジェクトを用意します。
IP アドレスではなくドメイン名で証明書を作成する場合は、以下のようにします。
この
type
は RFC 5280 に則っています。 -
Extension を設定します。
証明書に署名
最初に作成した秘密鍵でオレオレ署名します。
pem 形式で出力
- 証明書と秘密鍵を pem 形式に変換します。
- それぞれファイルに書き出します。
おまけ PKCS #12 (PFX) 形式で出力
Node の https
サーバーは PFX ファイルで証明書と秘密鍵を設定することができるので、pem ではなく pfx での出力方法も紹介します。
-
node-forge
からインポートするモジュールにpkcs12
とasn1
を追加します。 -
pkcs12.toPkcs12Asn1()
メソッドに作成済の秘密鍵と証明書を渡して PKCS #12 の ASN.1 オブジェクトにします。 -
asn1.toDer()
メソッドに PKCS #12 の ASN.1 オブジェクトを渡して DER 形式に変換します。 -
ファイルに書き出します。
既存の pfx ファイルから PEM 形式の証明書と秘密鍵を取り出す
次に node-forge
を使用して既存の pfx ファイルから pem 形式の証明書と秘密鍵を取り出す方法を紹介します。
-
必要なモジュールをインポートし、pfx ファイルを読み込みます。
-
読み込んだ pfx ファイルはバイナリの DER 形式なので
asn1.fromDer()
メソッドでnode-forge
の ASN.1 オブジェクトに変換します。 -
node-forge
の ASN.1 オブジェクトをnode-forge
の PKCS #12 オブジェクトに変換します。
証明書の取り出しと出力
-
証明書が格納されている SafeBag を取り出します。
pki.oids.certBag
は OID1.2.840.113549.1.12.10.1.3
のエイリアスで PKCS #12 Certificate Bag です。 -
SafeBag 内の
node-forge
の証明書オブジェクトを pem に変換します。 -
ファイルに出力します。
秘密鍵の取り出しと出力
-
秘密鍵が格納されている SafeBag を取り出します。
pki.oids.pkcs8ShroudedKeyBag
は OID1.2.840.113549.1.12.10.1.2
のエイリアスで PKCS #12 PKCS #8-shrouded Key Bag です。通常こちらだと思うのですがもし見つからなければ以下のように PKCS #12 KeyBag (OID:1.2.840.113549.1.12.10.1.1
) でも探してみてください。 -
SafeBag 内の
node-forge
の秘密鍵オブジェクトを pem に変換します。 -
ファイルに出力します。
あとがき
node-forge
を使って JavaScript だけでオレオレ証明書と秘密鍵を pem 形式で作成してみました。node-forge
は機能豊富で他にもいろいろできそうです。また RFC や X.500 シリーズなどスタンダードな仕様に基づいた内部構造となっているので、各仕様がわかっていないと直観的には使いにくい反面、各仕様を見ればやっていることがわかったり、理解も進むので勉強にはなりました。