pcapからX509 SSL証明書を取り出す
(1) TCPの設定で "Allow subdissector to reassemble TCP streams" のチェックがONになっている事を確認。
(2) "Certificate" というSSLハンドシェイクメッセージが含まれるパケットを探す。
(3) パケット詳細パネルでSSLプロトコルを展開。
(4) TLSレコードの "Certificate" を展開。
(5) Handshake Protocol の "Certificate" を展開。
(6) さらに "Certificates" を展開すると証明書のリストが表示される(証明書は一つしかない場合もある)。最初の証明書がサーバ証明書、2つめはCAの署名、3つめはCAが署名したCA、etc...
(7) 取り出したい証明書を右クリックして "Export selected packet bytes..." を選択。
(8) 適当に名前をつけて保存。
DER形式で保存される。opensslコマンドで読む場合は以下のようにする。
# 手順(8)でファイル名に "extracted.der" と指定した場合の例。 $ openssl x509 -in extracted.der -inform DER -noout -text
