21 OpenSSL-voorbeelde om u in die regte wêreld te help

Skep, bestuur & Skakel SSL-sertifikate met OpenSSL om


Een van die gewildste opdragte in SSL tot skep, omskep, bestuur die SSL-sertifikate is OpenSSL.

Daar sal baie situasies wees waar u OpenSSL op verskillende maniere moet hanteer, en hier het ek dit vir u as ‘n handige bedrogspul gelys..

In hierdie artikel sal ek praat oor gereeld gebruikte OpenSSL-opdragte om u in die regte wêreld te help.

Sommige van die afkortings wat verband hou met sertifikate.

  • SSL – Veilige soklaag
  • CSR – Sertifikaatondertekeningsversoek
  • TLS – Veiligheid in die vervoerlaag
  • PEM – verbeterde privaatheidpos
  • DER – Onderskeide koderingsreëls
  • SHA – Veilige Hash-algoritme
  • PKCS – Kryptografie-standaarde vir openbare sleutel

nota: SSL / TLS-operasiekursus Dit sal nuttig wees as u nie vertroud is met die bepalings nie.

Skep ‘n nuwe private sleutel en sertifikaatondertekeningsversoek

openssl req -out geekflare.csr -newkey rsa: 2048 -nodes -keyout geekflare.key

Bogenoemde opdrag sal CSR en 2048-bis RSA-sleutellêer genereer. As u van plan is om hierdie sertifikaat in Apache of Nginx te gebruik, moet u hierdie CSR-lêer na die gesag van die sertifikaatuitreiker stuur, en hulle sal u getekende sertifikaat gee, meestal in die der- of pem-formaat wat u in die Apache- of Nginx-webbediener moet instel..

Skep ‘n self-ondertekende sertifikaat

openssl req -x509 -sha256 -nodes -newkey rsa: 2048 -keyout gfselfsigned.key -out gfcert.pem

Bogenoemde opdrag sal ‘n self-ondertekende sertifikaat en sleutellêer met 2048-bit RSA genereer. Ek het ook sha256 ingesluit, aangesien dit tans die veiligste beskou word.

Wenk: standaard sal dit selfondertekende sertifikaat genereer wat slegs een maand geldig is, sodat u dit kan oorweeg om die parameter van –dae te definieer om die geldigheid te verleng.

ex: om selfonderteken te wees wat vir twee jaar geldig is.

openssl req -x509 -sha256 -nodes -dae 730 -newkey rsa: 2048 -keyout gfselfsigned.key -out gfcert.pem

Verifieer CSR-lêer

openssl req -noout -text -in geekflare.csr

Verifiëring is noodsaaklik om te verseker dat u CSR aan die uitreikersowerheid stuur met die nodige besonderhede.

Skep RSA-private sleutel

openssl genrsa -out private.key 2048

As u net RSA-private sleutel hoef te genereer, kan u die bogenoemde opdrag gebruik. Ek het 2048 ingesluit vir sterker kodering.

Verwyder die wagwoordfrase uit die sleutel

openssl rsa -in certkey.key -out nopassphrase.key

As u wagwoordfrase in die sleutellêer gebruik en Apache gebruik, moet u die wagwoord invoer elke keer as u begin. As u geïrriteerd is met die invoer van ‘n wagwoord, kan u hierbo openssl rsa -in geekflare.key -check gebruik om die wagwoordfrase van ‘n bestaande sleutel te verwyder.

Verifieer die privaat sleutel

openssl rsa -in certkey.key –check

As u twyfel oor u sleutellêer, kan u die bostaande opdrag gebruik om na te gaan.

Verifieer sertifikaatlêer

openssl x509 -in certfile.pem -text –noout

As u sertifikaatdata soos CN, OU, ens. Wil bekragtig, kan u ‘n opdrag hierbo gebruik wat u sertifikaatbesonderhede sal gee.

Verifieer die sertifikaatondertekeningsowerheid

openssl x509 -in certfile.pem -noout -issuer -issuer_hash

Die gesag van die sertifikaatuitreiker onderteken elke sertifikaat en indien u dit moet nagaan.

Gaan Hash-waarde van ‘n sertifikaat na

openssl x509 -no -hash -in bestflare.pem

Omskep DER na PEM-formaat

openssl x509 –informeer der –in sslcert.der –out sslcert.pem

Gewoonlik sal sertifikaatowerheid u SSL-sertifikaat in .der-formaat gee, en as u dit in apache- of .pem-formaat moet gebruik, dan sal die bogenoemde opdrag u help.

Omskep PEM na DER-formaat

openssl x509 – vorm der –in sslcert.pem –out sslcert.der

In die geval dat u die .pem-formaat moet verander na .der

Omskep sertifikaat en privaat sleutel na die PKCS # 12-formaat

openssl pkcs12 –export –out sslcert.pfx –inkey key.pem –in sslcert.pem

As u ‘n sertifikaat met die java-toepassing of enige ander persoon wat slegs PKCS # 12-formaat aanvaar, moet u die bogenoemde opdrag gebruik, wat ‘n pfx-bevattende sertifikaat sal genereer & sleutel lêer.

Wenk: jy kan ook ‘n kettingsertifikaat insluit deur die ketting soos hieronder te slaag.

openssl pkcs12 –export –out sslcert.pfx –keykey.pem –in sslcert.pem -chain cacert.pem

Skep CSR met behulp van ‘n bestaande private sleutel

openssl req –out Certificate.csr –key exist.key – nuut

As u nie ‘n nuwe private sleutel wil skep in plaas daarvan om ‘n bestaande sleutel te gebruik nie, kan u met die bogenoemde opdrag gaan.

Gaan die inhoud van die sertifikaat van PKCS12-formaat na

openssl pkcs12 –info –nodes –in cert.p12

PKCS12 is ‘n binêre formaat, sodat u nie die inhoud in die notepad of ‘n ander redakteur kan sien nie. Bogenoemde opdrag sal u help om die inhoud van die PKCS12-lêer te sien.

Omskep PKCS12-formaat na PEM-sertifikaat

openssl pkcs12 –in cert.p12 –out cert.pem

As u bestaande pkcs12-formaat met Apache of net in pem-formaat wil gebruik, sal dit nuttig wees.

Toets SSL-sertifikaat van die spesifieke URL

openssl s_client -koppel yoururl.com:443 –vertonings

Ek gebruik dit gereeld om die SSL-sertifikaat van die spesifieke URL vanaf die bediener te bekragtig. Dit is baie handig om die protokol-, kodering- en sertifikaatbesonderhede te bekragtig.

Ontdek OpenSSL-weergawe

opensl weergawe

As u verantwoordelik is om te verseker dat OpenSSL veilig is, is een van die eerste dinge wat u moet doen, om die weergawe te verifieer.

Gaan die vervaldatum van die PEM-lêersertifikaat na

openssl x509 -no–in Certificate.pem-datums

Nuttig as u van plan is om monitering te doen om die geldigheid te kontroleer. Dit sal u datum in notBefore en notAfter sintaksis wys. notAfter is dit wat u moet verifieer om te bevestig of ‘n sertifikaat verval het of steeds geldig is.

ex:

[[Email protected] kies] # openssl x509 -no-in bestflare.pem-datums
notBefore= 4 Julie 14:02:45 2015 GMT
notAfter= 4 Augustus 09:46:42 2015 GMT
[[Email protected] opt] #

Kontroleer die vervaldatum van die sertifikaat van die SSL-URL

openssl s_client -connect secureurl.com:443 2>/ dev / null | openssl x509 -noout –datum

Nog ‘n nuttige opsie as u van plan is om die vervaldatum van SSL-sertifikate op afstand of ‘n spesifieke URL te monitor.

ex:

[[Email protected] kies] # openssl s_client – verbind google.com:443 2>/ dev / null | openssl x509 -no-enddatum

notAfter= 8 Desember 00:00:00 2015 GMT

Kyk of SSL V2 of V3 op URL aanvaar word

Om SSL V2 na te gaan

openssl s_client -connect secureurl.com:443 -ssl2

Om SSL V3 na te gaan

openssl s_client -connect secureurl.com:443 –ssl3

Om TLS 1.0 na te gaan

openssl s_client -connect secureurl.com:443 –tls1

Om TLS 1.1 te kontroleer

openssl s_client -connect secureurl.com:443 –tls1_1

Om TLS 1.2 na te gaan

openssl s_client -connect secureurl.com:443 –tls1_2

As u ‘n webbediener beveilig en moet bevestig of SSL V2 / V3 geaktiveer is of nie, kan u die bogenoemde opdrag gebruik. As dit geaktiveer is, sal u “VERBIND‘Anders’handdruk mislukking.”

Verifieer of die spesifieke kode op die URL aanvaar word

openssl s_client -cipher ‘ECDHE-ECDSA-AES256-SHA’ -konnekteer beveiliging: 443

As u aan sekuriteitsbevindinge werk en die resultate van die pentoets toon dat sommige van die swak tjipers aanvaar word, kan u die bostaande opdrag gebruik.

Natuurlik sal u die kode en URL moet verander waarteen u wil toets. As die genoemde kode aanvaar word, sal u ‘VERBIND‘Anders’handdruk mislukking.”

Ek hoop dat bogenoemde opdragte u help om meer te weet oor OpenSSL om te bestuur SSL-sertifikate vir u webwerf.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map