21 Exemple OpenSSL care să vă ajute în lumea reală

Creați, Gestionați & Conversia certificatelor SSL cu OpenSSL


Una dintre cele mai populare comenzi în SSL către crea, convertit, administra Certificatele SSL sunt OpenSSL.

Vor fi multe situații în care va trebui să aveți de-a face cu OpenSSL în diverse moduri, iar aici le-am enumerat pentru dvs. ca o foaie de înșelare la îndemână.

În acest articol, voi vorbi despre comenzile OpenSSL utilizate frecvent pentru a vă ajuta în lumea reală.

Unele dintre abrevierile referitoare la certificate.

  • SSL – Secure Socket Layer
  • CSR – Cerere de semnare a certificatului
  • TLS – Securitatea stratului de transport
  • PEM – e-mail îmbunătățit de confidențialitate
  • DER – Reguli de codificare distincte
  • SHA – Algoritmul Hash Secure
  • PKCS – Standarde de criptografie cu cheie publică

Notă: Curs de operare SSL / TLS ar fi util dacă nu sunteți familiarizat cu acești termeni.

Creați noua cheie privată și cerere de semnare a certificatului

openssl req -out geekflare.csr -newkey rsa: 2048 -nodes -keyout geekflare.key

Comanda de mai sus va genera CSR și fișier cheie RSA pe 2048 biți. Dacă intenționați să utilizați acest certificat în Apache sau Nginx, atunci trebuie să trimiteți acest fișier CSR către autoritatea emitentă de certificate, iar acestea vă vor oferi un certificat semnat în mare parte în format der sau pem pe care trebuie să îl configurați în serverul web Apache sau Nginx.

Creați un certificat autofirmat

openssl req -x509 -sha256 -node -newkey rsa: 2048 -keyout gfselfsigned.key -out gfcert.pem

Comanda de mai sus va genera un certificat auto-semnat și un fișier cheie cu RSA 2048 biți. Am inclus și sha256, deoarece este considerat cel mai sigur în acest moment.

Bacsis: în mod implicit, va genera un certificat autofirmat valabil doar o lună, astfel încât să puteți lua în considerare definirea – parametrul zilei pentru a extinde validitatea.

Ex: să se auto-semneze valabil doi ani.

openssl req -x509 -sha256 -node-zile 730 -nova noua: 2048 -keyout gfselfsigned.key -out gfcert.pem

Verificați fișierul CSR

openssl req -noout -text -in geekflare.csr

Verificarea este esențială pentru a vă asigura că trimiteți CSR autorității emitente cu detaliile necesare.

Creați cheie privată RSA

openssl genrsa -out private.key 2048

Dacă aveți nevoie doar pentru a genera cheie privată RSA, puteți utiliza comanda de mai sus. Am inclus 2048 pentru o criptare mai puternică.

Eliminați parolă din cheie

openssl rsa -in certkey.key -out nopassphrase.key

Dacă utilizați fraza de acces în fișierul cheie și utilizați Apache, atunci de fiecare dată când începeți, trebuie să introduceți parola. Dacă sunteți enervat de introducerea unei parole, atunci puteți utiliza openssl rsa -in geekflare.key -check pentru a elimina cheia parolă dintr-o cheie existentă.

Verificați cheia privată

openssl rsa -in certkey.key –check

Dacă aveți îndoieli cu privire la fișierul dvs. cheie, puteți utiliza comanda de mai sus pentru a verifica.

Verificați fișierul certificatului

openssl x509 -in certfile.pem -text –noout

Dacă doriți să validați datele certificatelor precum CN, OU etc., puteți utiliza o comandă de mai sus care vă va oferi detaliile certificatului.

Verificați autoritatea care semnează certificatul

openssl x509 -in certfile.pem -noout -issuer -issuer_hash

Autoritatea emitentă de certificate semnează fiecare certificat și, în cazul în care trebuie să le verificați.

Verificați valoarea Hash a unui certificat

openssl x509 -noout -hash -in bestflare.pem

Convertiți DER în format PEM

openssl x509 –inform der –in sslcert.der –out sslcert.pem

De obicei, autoritatea de certificare vă va oferi certificat SSL în format .der, iar dacă trebuie să le utilizați în format apache sau .pem, atunci comanda de mai sus vă va ajuta.

Convertiți PEM în format DER

openssl x509 –outform der –in sslcert.pem –out sslcert.der

În cazul în care trebuie să schimbați formatul .pem în .der

Convertiți certificatul și cheia privată în format PKCS # 12

openssl pkcs12 –export –out sslcert.pfx –inkey key.pem –in sslcert.pem

Dacă trebuie să utilizați un certificat cu aplicația java sau cu oricare altul care acceptă doar formatul PKCS # 12, puteți utiliza comanda de mai sus, care va genera un certificat care conține un singur pfx & fișier cheie.

Bacsis: puteți include, de asemenea, certificatul de lanț trecând – lanțul de mai jos.

openssl pkcs12 –export –out sslcert.pfx –inkey key.pem –in sslcert.pem -chain cacert.pem

Creați CSR folosind o cheie privată existentă

openssl req –out certificate.csr –key eżistenti.key –new

Dacă nu doriți să creați o cheie privată nouă în loc să o utilizați pe una existentă, puteți merge cu comanda de mai sus.

Verificați conținutul formatului PKCS12 cert

openssl pkcs12 –info –nodes –in cert.p12

PKCS12 este format binar, astfel încât nu veți putea vedea conținutul într-un bloc de notițe sau un alt editor. Comanda de mai sus vă va ajuta să vedeți conținutul fișierului PKCS12.

Convertiți formatul PKCS12 în certificat PEM

openssl pkcs12 –in cert.p12 –out cert.pem

Dacă doriți să utilizați formatul pkcs12 existent cu Apache sau doar în format pem, acest lucru va fi util.

Testați certificatul SSL al unei anumite URL

openssl s_client -connect yoururl.com:443 –spectacole

Folosesc acest lucru destul de des pentru a valida certificatul SSL al URL-ului specific de pe server. Acest lucru este foarte util pentru a valida detaliile de protocol, cifrare și cert.

Aflați versiunea OpenSSL

versiunea openssl

Dacă sunteți responsabil să vă asigurați că OpenSSL este sigur, atunci unul dintre primele lucruri pe care trebuie să le faceți este să verificați versiunea.

Verificați data de expirare a certificatului de fișier PEM

openssl x509 -noout -in certificate.pem -date

Este util dacă intenționați să puneți unele monitorizări pentru a verifica validitatea. Vă va afișa data în sintaxa notBefore și notAfter. notAfter este unul care va trebui să verifice pentru a confirma dacă un certificat a expirat sau este încă valabil.

Ex:

[[Email protected] opt] # openssl x509 -noout -in bestflare.pem -date
nu inainte= 4 iulie 14:02:45 2015 GMT
notAfter= 4 august 09:46:42 2015 GMT
[[Email protected] opta]#

Verificați data de expirare a certificatului pentru adresa URL SSL

openssl s_client -connect secururl.com:443 2>/ dev / null | openssl x509 -noout –enddate

Un alt util dacă intenționați să monitorizați data de expirare a certificatului SSL de la distanță sau URL-ul special.

Ex:

[[Email protected] opt] # openssl s_client -connect google.com:443 2>/ dev / null | openssl x509 -noout -enddate

notAfter= 8 Dec 00:00:00 2015 GMT

Verificați dacă SSL V2 sau V3 este acceptat pe URL

Pentru a verifica SSL V2

openssl s_client -connect secururl.com:443 -ssl2

Pentru a verifica SSL V3

openssl s_client -connect secururl.com:443 –ssl3

Pentru a verifica TLS 1.0

openssl s_client -connect secururl.com:443 –tls1

Pentru a verifica TLS 1.1

openssl s_client -connect secururl.com:443 –tls1_1

Pentru a verifica TLS 1.2

openssl s_client -connect secururl.com:443 –tls1_2

Dacă securizați serverul web și trebuie să validați dacă SSL V2 / V3 este activat sau nu, puteți utiliza comanda de mai sus. Dacă este activat, veți primi „CONECTAT“Altceva”eșecul strângerii de mână.“

Verificați dacă codul particular este acceptat pe URL

openssl s_client -cipher ‘ECDHE-ECDSA-AES256-SHA’ -connect secureurl: 443

Dacă lucrați la constatări de securitate și rezultatele testului de pixuri arată că unele dintre cifrele slabe sunt acceptate, atunci pentru a valida, puteți utiliza comanda de mai sus.

Desigur, va trebui să schimbați cifrul și adresa URL, pe care doriți să le testați. Dacă cifrul menționat este acceptat, atunci veți primi „CONECTAT“Altceva”eșecul strângerii de mână.“

Sper că comenzile de mai sus vă vor ajuta să știți mai multe despre OpenSSL de gestionat Certificate SSL pentru site-ul dvs. web.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map