21 OpenSSL példa a valós világban történő segítségre

Hozzon létre, kezeljen & Konvertálni az SSL tanúsítványokat az OpenSSL használatával


Az egyik legnépszerűbb parancs az SSL-ben a teremt, alakítani, kezel az SSL tanúsítványok OpenSSL.

Számos olyan helyzet lesz, amikor különféle módon kell foglalkoznia az OpenSSL-rel, és itt felsoroltam őket egy hasznos csaló lapként..

Ebben a cikkben a gyakran használt OpenSSL parancsokról fogok beszélni, amelyek segítenek a való világban.

Néhány rövidítés a tanúsítványokkal kapcsolatos.

  • SSL – Secure Socket Layer
  • CSR – tanúsítvány aláírási igény
  • TLS – szállítási réteg biztonság
  • PEM – A magánélet fokozott levele
  • DER – Megkülönböztetett kódolási szabályok
  • SHA – Secure Hash algoritmus
  • PKCS – Nyilvános kulcsú kriptográfiai szabványok

Jegyzet: SSL / TLS működési tanfolyam hasznos lenne, ha nem ismeri a feltételeket.

Hozzon létre új magánkulcs és tanúsítvány aláírási kérelmet

openssl req -out geekflare.csr -newkey rsa: 2048 -csomópontok -keyout geekflare.key

A fenti parancs CSR és 2048 bites RSA kulcsfájlt hoz létre. Ha ezt a tanúsítványt Apache-ban vagy Nginx-ben kívánja használni, akkor el kell küldenie ezt a CSR-fájlt a tanúsítványkibocsátó hatóságnak, és aláírt tanúsítványt kapnak, leginkább der vagy pem formátumban, amelyet az Apache vagy az Nginx webkiszolgálón kell konfigurálnia..

Hozzon létre egy önaláírt tanúsítványt

openssl req -x509 -sha256 -csomópontok -új kulcs rsa: 2048 -kulcs gfselfsigna.key -out gfcert.pem

A fenti parancs egy önaláírt tanúsítványt és kulcsfájlt hoz létre 2048 bites RSA-val. Felvettem a sha256-ot is, mivel ez a pillanatban legbiztonságosabb.

Tipp: alapértelmezés szerint csak egy hónapig érvényes önaláírással ellátott tanúsítványt állít elő, így megfontolhatja a –days paraméter meghatározását az érvényesség meghosszabbításához.

Volt: hogy önaláírása két évig érvényes.

openssl req -x509 -sha256 -csomópontok -nap 730 -új kulcs rsa: 2048 -kulcs gfselfsigna.key -out gfcert.pem

Ellenőrizze a CSR fájlt

openssl req -noout -text -in geekflare.csr

Az ellenőrzés elengedhetetlen annak biztosítása érdekében, hogy a CSR-t elküldi a kibocsátó hatóságnak a szükséges adatokkal.

Hozzon létre RSA privát kulcsot

openssl genrsa -out private.key 2048

Ha csak RSA privát kulcsot kell előállítania, használhatja a fenti parancsot. 2048-at is beépítettem az erősebb titkosítás érdekében.

Távolítsa el a jelmondatot a kulcsból

openssl rsa -in certkey.key -out nopassphrase.key

Ha jelmondatot használ a kulcsfájlban, és az Apache-t használja, akkor minden indításkor meg kell adnia a jelszót. Ha bosszant a jelszó megadása, akkor az openssl rsa -in geekflare.key -check fölött eltávolíthatja a jelmondat-kulcsot egy meglévő kulcsból.

Ellenőrizze a privát kulcsot

openssl rsa -in certkey.key –check

Ha kétségei vannak a kulcsfájllal, akkor használja a fenti parancsot az ellenőrzéshez.

Ellenőrizze a tanúsítványfájlt

openssl x509 -in certfile.pem -text –noout

Ha ellenőrizni szeretné a tanúsítvány adatait, például CN, OU stb., Akkor használhatja a fenti parancsot, amely megadja a tanúsítvány részleteit..

Ellenőrizze a tanúsító aláíró hatóságot

openssl x509 -in certfile.pem -noout -issuer -issuer_hash

A tanúsítványt kiállító hatóság minden tanúsítványt aláír, és arra az esetre, ha ellenőriznie kell azokat.

Ellenőrizze a tanúsítvány has-értékét

openssl x509 -noout -hash -in bestflare.pem

A DER konvertálása PEM formátumba

openssl x509 –inform der –in sslcert.der –out sslcert.pem

Általában a tanúsító hatóság megadja az SSL tanúsítványokat .der formátumban, és ha apache vagy .pem formátumban kell használni őket, akkor a fenti parancs segít.

A PEM konvertálása DER formátumba

openssl x509 – outform der –in sslcert.pem –out sslcert.der

Abban az esetben, ha a .pem formátumot .derre kell váltania

A tanúsítvány és a privát kulcs konvertálása PKCS # 12 formátumba

openssl pkcs12 –export –out sslcert.pfx –inkey key.pem –in sslcert.pem

Ha tanúsítványt kell használnia a java alkalmazáshoz vagy máshoz, aki csak a PKCS # 12 formátumot fogadja el, akkor a fenti parancsot használhatja, amely egyetlen pfx-et tartalmazó tanúsítványt generál & kulcsfájl.

Tipp: a láncot igazoló tanúsítványt is beillesztheti a lánc átadásával az alábbiak szerint.

openssl pkcs12 –export –out sslcert.pfx –inkey key.pem –in sslcert.pem -chain cacert.pem

Hozzon létre CSR-t egy meglévő magánkulccsal

openssl req –out certificate.csr – kulcs létező.key –új

Ha nem akarja új magánkulcsot létrehozni egy meglévő helyett, akkor a fenti paranccsal léphet tovább.

Ellenőrizze a PKCS12 formátum tanúsítványának tartalmát

openssl pkcs12 –info – csomópontok –in cert.p12

A PKCS12 bináris formátum, így nem fogja tudni megtekinteni a tartalmat Jegyzettömbben vagy más szerkesztőben. A fenti parancs segít a PKCS12 fájl tartalmának megtekintésében.

Konvertálja a PKCS12 formátumot PEM igazolássá

openssl pkcs12 – in cert.p12 – out cert.pem

Ha meg akarja használni a meglévő pkcs12 formátumot Apache-rel vagy csak pem formátumban, ez hasznos lesz.

Tesztelje az adott URL SSL tanúsítványát

openssl s_client -csatlakoztassa a yoururl.com:443 –showcerts

Ezt elég gyakran használom az adott URL SSL tanúsítványának validálására a szerverről. Ez nagyon hasznos a protokoll, a titkosítás és a tanúsítás részleteinek érvényesítésében.

Tudja meg az OpenSSL verzióját

openssl verzió

Ha az OpenSSL biztonságának biztosítása a felelős, akkor valószínűleg az egyik első lépés, amelyet meg kell tennie, a verzió ellenőrzése.

Ellenőrizze a PEM fájl tanúsítványának lejáratát

openssl x509 -noout -in certificate.pem -dates

Hasznos, ha ellenőrzést tervez az érvényesség ellenőrzésére. Megjeleníti a dátumot a notBefore és a notA syntax után. notAfter az egyik, akkor ellenőriznie kell, hogy megerősítse-e, ha egy tanúsítvány lejárt, vagy továbbra is érvényes.

Volt:

[[Email protected] opt] # openssl x509 -noout -in bestflare.pem -dates
notBefore= 2015. július 4., 14:02:45, GMT
notAfter= 2015. augusztus 4., 09:46:42, 2015 GMT
[[Email protected] dönt]#

Ellenőrizze az SSL URL tanúsítvány érvényességi idejét

openssl s_client -connect secureurl.com:443 2>/ dev / null | openssl x509 -noout –enddate

Hasznos még akkor, ha az SSL tanúsítvány lejárati idejét vagy egy adott URL távoli megfigyelését tervezi.

Volt:

[[Email protected] opt] # openssl s_client -connect google.com:443 2>/ dev / null | openssl x509 -noout -enddate

notAfter= 2015. december 8. 00:00:00 GMT

Ellenőrizze, hogy az SSL V2 vagy a V3 elfogadott-e az URL-en

Az SSL V2 ellenőrzése

openssl s_client -connect secureurl.com:443 -ssl2

Az SSL V3 ellenőrzése

openssl s_client -connect secureurl.com:443 –ssl3

A TLS 1.0 ellenőrzése

openssl s_client -connect secureurl.com:443 –tls1

A TLS 1.1 ellenőrzése

openssl s_client -connect secureurl.com:443 –tls1_1

A TLS 1.2 ellenőrzése

openssl s_client -connect secureurl.com:443 –tls1_2

Ha a webszervert védi, és ellenőriznie kell, hogy az SSL V2 / V3 engedélyezve van-e, használhatja a fenti parancsot. Ha aktiválva van, akkor „CSATLAKOZTATVA” más “kézfogás kudarc.”

Ellenőrizze, hogy az adott rejtjel elfogadásra került-e az URL-en

openssl s_client-encher ‘ECDHE-ECDSA-AES256-SHA’ -kapcsolat biztonságos: 443

Ha biztonsági megállapításokon dolgozik, és a tollteszt eredményei azt mutatják, hogy a gyenge rejtjelek egy része elfogadott, akkor az érvényesítéshez használhatja a fenti parancsot.

Természetesen meg kell változtatnia a rejtjelet és az URL-t, amelyek ellen tesztelni kívánja. Ha az említett rejtjel elfogadásra kerül, akkor „CSATLAKOZTATVA” más “kézfogás kudarc.”

Remélem, hogy a fenti parancsok segítenek többet megtudni az OpenSSL kezeléséről SSL tanúsítványok az Ön webhelyén.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map