21 نمونه OpenSSL برای کمک به شما در دنیای واقعی

ایجاد ، مدیریت کنید & تبدیل گواهینامه های SSL با OpenSSL


یکی از محبوب ترین دستورات SSL به ایجاد کردن, تبدیل, مدیریت گواهینامه های SSL OpenSSL است.

موقعیت های بسیاری وجود خواهد داشت که شما باید از طریق روش های مختلف با OpenSSL سر و کار داشته باشید ، و در اینجا من آنها را به عنوان یک برگه تقلب مفید ذکر کرده ام.

در این مقاله ، در مورد دستورات OpenSSL استفاده می شود که به شما در دنیای واقعی کمک می کند ، صحبت خواهم کرد.

برخی از اختصارات مربوط به گواهینامه ها.

  • SSL – لایه سوکت ایمن
  • CSR – درخواست امضای گواهی
  • TLS – امنیت لایه حمل و نقل
  • PEM – نامه پیشرفته حفظ حریم خصوصی
  • DER – قوانین رمزگذاری برجسته
  • SHA – الگوریتم ایمن هاش
  • PKCS – استاندارد رمزنگاری کلید عمومی

توجه داشته باشید: دوره عملی SSL / TLS اگر با اصطلاحات آشنا نباشید مفید خواهد بود.

درخواست کلید خصوصی و صدور گواهینامه خصوصی را ایجاد کنید

opensl req -out geekflare.csr -nkeykey rsa: 2048-nodes -keyout geekflare.key

در بالا دستور فایل کلید RSA CSR و 2048 بیتی تولید خواهد شد. اگر قصد استفاده از این گواهینامه را در Apache یا Nginx دارید ، باید این پرونده CSR را به مجوز صادرکننده گواهینامه ارسال کنید ، و آنها به شما گواهی نامه امضا شده ای را عمدتاً در قالب der یا pem می دهند که برای پیکربندی در سرورهای Apache یا Nginx باید.

یک گواهی خود امضا کنید

opensl req -x509 -sha256 -nodes-newkey rsa: 2048 -kut gfelfsigned.key -out gfcert.pem

در بالای فرمان ، یک RSA دارای گواهینامه و فایل اصلی به امضا رسیده است. من همچنین sha256 را بعنوان امن ترین در حال حاضر گنجانده ام.

نکته: به طور پیش فرض ، این مجوز خود امضا شده را تولید می کند که فقط برای یک ماه اعتبار دارد ، بنابراین ممکن است شما برای تعیین اعتبار پارامتر –days را در نظر بگیرید.

سابق: تا دو سال معتبر باشد.

opensl req -x509 -sha256 -nodes-day 730-newkey rsa: 2048 -kout gf Selfsigned.key -out gfcert.pem

پرونده CSR را تأیید کنید

opensl req -noout -text-in geekflare.csr

تأیید صحت برای اطمینان از ارسال CSR به مرجع صادرکننده با جزئیات لازم ضروری است.

کلید خصوصی RSA ایجاد کنید

opensl genrsa -out private.key 2048

اگر فقط نیاز به تولید کلید خصوصی RSA دارید ، می توانید از دستور فوق استفاده کنید. من سال 2048 را برای رمزگذاری قوی تر گنجانده ام.

عبارت عبور را از کلید حذف کنید

opensl rsa -in certkey.key -out nopassphrase.key

اگر از عبارت عبور در پرونده کلید استفاده می کنید و از Apache استفاده می کنید ، هر بار که شروع می کنید ، باید رمزعبور را وارد کنید. اگر از وارد کردن گذرواژه اذیت شده اید ، می توانید از کلیدهای فوق برای باز کردن کلید رمز عبور از کلید موجود ، از opensl rsa -in geekflare.key استفاده کنید..

کلید خصوصی را تأیید کنید

opensl rsa-in certkey.key – بررسی کنید

اگر در پرونده اصلی خود شک دارید ، می توانید از دستور فوق برای بررسی استفاده کنید.

پرونده گواهی را تأیید کنید

opensl x509-در گواهی نامه.pem -text – بدون

اگر می خواهید داده های گواهینامه مانند CN ، OU و غیره را تأیید کنید ، می توانید از یک دستور فوق استفاده کنید که جزئیات گواهی را به شما ارائه می دهد..

مرجع امضای گواهی را تأیید کنید

openssl x509 -in certfile.pem -noout -issuer -issuer_hash

مرجع صدور گواهینامه هر گواهی را امضا می کند و در صورت نیاز به بررسی آنها.

ارزش هش گواهی را بررسی کنید

opensl x509 – noout -hash-in bestflare.pem

تبدیل DER به فرمت PEM

opensl x509 –inform der –in sslcert.der–out sslcert.pem

معمولاً ، مرجع صدور گواهینامه به شما SSL گواهینامه را با فرمت .der ارائه می دهد ، و در صورت نیاز به استفاده از آنها در قالب apache یا .pem ، دستور فوق به شما کمک می کند..

تبدیل PEM به فرمت DER

opensl x509 –formform der –in sslcert.pem –out sslcert.der

در صورت نیاز به تغییر قالب .pem به .der

تبدیل گواهینامه و کلید خصوصی به فرمت PKCS # 12

opensl pkcs12 – گزارش – تمام sslcert.pfx – کلید پینکی.پم – در sslcert.pem

اگر شما نیاز به استفاده از گواهینامه با برنامه java یا هر شخص دیگری دارید که فقط فرمت PKCS # 12 را بپذیرد ، می توانید از دستور فوق استفاده کنید که یک گواهی pfx حاوی مجزا تولید می کند & پرونده کلیدی.

نکته: همچنین می توانید گواهی زنجیره ای را با عبور از زنجیره ای مانند زیر بگنجانید.

opensl pkcs12 –export –out sslcert.pfx –inkey key.pem –in sslcert.pem –chain cacert.pem

CSR را با استفاده از یک کلید خصوصی موجود ایجاد کنید

opensl req – گواهی نامه.csr – کلید موجود.مهم – جدید

اگر نمی خواهید به جای استفاده از کلید موجود ، یک کلید خصوصی جدید ایجاد کنید ، می توانید با دستور بالا بروید.

محتوای گواهی فرمت PKCS12 را بررسی کنید

opensl pkcs12 –info –nodes– در cert.p12

PKCS12 یک قالب باینری است ، بنابراین نمی توانید محتوا را در دفترچه یادداشت یا ویرایشگر دیگری مشاهده کنید. دستور فوق به شما کمک می کند تا محتوای پرونده PKCS12 را مشاهده کنید.

فرمت PKCS12 را به گواهی PEM تبدیل کنید

opensl pkcs12 – در cert.p12 – البته cert.pem

اگر مایل به استفاده از قالب pkcs12 موجود با Apache یا فقط با فرمت pem هستید ، این کار مفید خواهد بود.

گواهی SSL را از URL خاص تست کنید

opensl s_client – اتصال yoururl.com:443 – نمایش های کنسرت

من از این موارد اغلب برای تأیید گواهی SSL URL خاص از سرور استفاده می کنم. این برای تأیید جزئیات پروتکل ، رمزگذاری و جزئیات گواهی بسیار مفید است.

نسخه OpenSSL را پیدا کنید

نسخه opensl

اگر مسئولیت اطمینان از امنیت OpenSSL را بر عهده دارید ، احتمالاً یکی از اولین کارهایی که باید انجام دهید ، تأیید نسخه است.

تاریخ انقضا گواهی پرونده PEM را بررسی کنید

opensl x509 – notout-in گواهی نامه .pem -dates

اگر می خواهید نظارت کنید تا اعتبار را بررسی کنید مفید است. این تاریخ را در syntax not not قبل و بعد از آن نشان می دهد. notAfter یکی از مواردی است که شما باید تأیید کنید که تأیید اعتبار منقضی شده یا هنوز معتبر است یا خیر.

سابق:

[[ایمیل محافظت شده] opt] # opensl x509 – noout -in bestflare.pem -dates
قبل از این نه= 4 ژوئیه 14:02:45 2015 GMT
بعد از آن= 4 اوت 09:46:42 2015 GMT
[[ایمیل محافظت شده] انتخاب] #

تاریخ انقضا گواهی آدرس SSL را بررسی کنید

opensl s_client -connect safeurl.com:443 2>/ dev / null | opensl x509 – not –enddate

اگر قصد دارید تاریخ انقضا گواهینامه SSL را از راه دور یا URL خاص نظارت کنید ، مفید دیگری است.

سابق:

[[ایمیل محافظت شده] opt] # opensl s_client – اتصال گوگل.com:443 2>/ dev / null | opensl x509 – notout -enddate

بعد از آن= 8 دسامبر 00:00:00 2015 GMT

بررسی کنید که SSL V2 یا V3 در URL پذیرفته شده است یا خیر

برای بررسی SSL V2

opensl s_client – اتصال safeurl.com:443 -ssl2

برای بررسی SSL V3

opensl s_client – اتصال safeurl.com:443 –ssl3

برای بررسی TLS 1.0

opensl s_client – اتصال safeurl.com:443 –tls1

برای بررسی TLS 1.1

opensl s_client – اتصال safeurl.com:443 –tls1_1

برای بررسی TLS 1.2

opensl s_client – اتصال safeurl.com:443 –tls1_2

اگر در حال تأمین سرور وب هستید و نیاز به تأیید اعتبار SSL V2 / V3 را فعال کرده اید یا نه ، می توانید از دستور فوق استفاده کنید. اگر فعال شود ، “متصل“دیگر”شکست لرزش.”

بررسی کنید که آیا رمز خاص در URL پذیرفته شده است یا خیر

opensl s_client -cipher ‘ECDHE-ECDSA-AES256-SHA’ – safeurl اتصال: 443

اگر روی یافته های امنیتی کار می کنید و نتایج آزمون قلم نشان می دهد که برخی از رمزهای ضعیف پذیرفته شده و سپس برای اعتبار سنجی ، می توانید از دستور فوق استفاده کنید.

البته ، شما باید رمز و URL را تغییر دهید ، که می خواهید در برابر آنها تست کنید. اگر رمزگذاری ذکر شده پذیرفته شود ، شما “متصل“دیگر”شکست لرزش.”

امیدوارم دستورات فوق به شما کمک کند تا درباره مدیریت OpenSSL اطلاعات بیشتری کسب کنید گواهینامه های SSL برای وب سایت خود.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map