21 OpenSSL примери, които да ви помогнат в реалния свят

Създавайте, управлявайте & Конвертирайте SSL сертификати с OpenSSL


Една от най-популярните команди в SSL до създавам, конвертиране, управлявам SSL сертификатите са OpenSSL.

Ще има много ситуации, в които трябва да се справяте с OpenSSL по различни начини и тук ги изброих за вас като удобен лист за мами.

В тази статия ще говоря за често използвани команди OpenSSL, които да ви помогнат в реалния свят.

Някои от съкращенията, свързани със сертификатите.

  • SSL – защитен слой на гнездото
  • CSR – Заявка за подписване на сертификат
  • TLS – Защита на транспортния слой
  • PEM – Поща с повишена поверителност
  • DER – Различни правила за кодиране
  • SHA – Безопасен алгоритъм на хеш
  • PKCS – Стандарти за криптография с публичен ключ

Забележка: SSL / TLS курс на работа би било полезно, ако не сте запознати с условията.

Contents

Създайте нова заявка за подписване на частен ключ и сертификат

openssl req -out geekflare.csr -newkey rsa: 2048 -nodes -keyout geekflare.key

По-горе командата ще генерира CSR и 2048-битов RSA ключ файл. Ако възнамерявате да използвате този сертификат в Apache или Nginx, тогава трябва да изпратите този CSR файл до органа, който издава сертификат, и той ще ви даде подписан сертификат най-вече в der или pem формат, който трябва да конфигурирате в уеб сървъра Apache или Nginx.

Създайте самоподписан сертификат

openssl req -x509 -sha256-възли -newkey rsa: 2048 -keyout gfselfsigned.key -out gfcert.pem

По-горе командата ще генерира самоподписан сертификат и ключов файл с 2048-битов RSA. Включих и sha256, тъй като в момента се счита за най-сигурен.

Бакшиш: по подразбиране той ще генерира самоподписан сертификат, валиден само за един месец, така че можете да помислите за определяне на параметъра –days, за да удължите валидността.

Ex: да има самостоятелно подписване, валидно за две години.

openssl req -x509 -sha256-възли -days 730 -newkey rsa: 2048 -keyout gfselfsigned.key -out gfcert.pem

Проверете CSR файла

openssl req -noout -text -in geekflare.csr

Проверката е от съществено значение, за да се гарантира, че изпращате CSR до органа на издателя с необходимите данни.

Създайте RSA частен ключ

openssl genrsa -out private.key 2048

Ако просто трябва да генерирате RSA частен ключ, можете да използвате горната команда. Включих 2048 за по-силно криптиране.

Премахване на парола от Key

openssl rsa -in certkey.key -out nopassphrase.key

Ако използвате парола в ключов файл и използвате Apache, тогава всеки път, когато стартирате, трябва да въведете паролата. Ако се дразните от въвеждането на парола, можете да използвате по-горе openssl rsa -in geekflare.key -отметка, за да премахнете ключа за парола от съществуващ ключ.

Потвърдете частния ключ

openssl rsa -in certkey.key –отметка

Ако се съмнявате във вашия ключов файл, можете да използвате горната команда, за да проверите.

Проверете файла на сертификата

openssl x509 -in certfile.pem -text –noout

Ако искате да потвърдите данните на сертификата като CN, OU и т.н., тогава можете да използвате команда по-горе, която ще ви даде подробности за сертификата.

Проверете органа за подписване на сертификат

openssl x509 -in certfile.pem -noout -issuer -issuer_hash

Органът, който издава сертификат, подписва всеки сертификат и в случай, че трябва да ги проверите.

Проверете стойност на хеш на сертификат

openssl x509 -noout -hash -in bestflare.pem

Преобразуване на DER във формат PEM

openssl x509 –информация der –in sslcert.der –out sslcert.pem

Обикновено сертификационният орган ще ви даде SSL cert във формат .der, и ако трябва да ги използвате във формат apache или .pem, горната команда ще ви помогне.

Преобразуване на PEM в DER формат

openssl x509 –оформформа der –in sslcert.pem –out sslcert.der

В случай, че трябва да промените .pem формат на .der

Преобразуване на сертификат и частен ключ във формат PKCS # 12

openssl pkcs12 –export –out sslcert.pfx –inkey key.pem –in sslcert.pem

Ако трябва да използвате cert с приложението java или с някой друг, който приема само формат PKCS # 12, можете да използвате горната команда, която ще генерира един сертификат, съдържащ pfx & ключов файл.

Бакшиш: можете също така да включите верижен сертификат, като преминете на веригата, както е посочено по-долу.

openssl pkcs12 –export –out sslcert.pfx –inkey key.pem –in sslcert.pem -chain cacert.pem

Създайте CSR с помощта на съществуващ частен ключ

openssl req –out сертификат.csr –ключи съществуващ.key – нов

Ако не искате да създадете нов частен ключ, вместо да използвате съществуващ, можете да преминете с горната команда.

Проверете съдържанието на PKCS12 формат cert

openssl pkcs12 –info – възли –в cert.p12

PKCS12 е двоичен формат, така че няма да можете да преглеждате съдържанието в бележника или друг редактор. Горната команда ще ви помогне да видите съдържанието на PKCS12 файла.

Конвертирайте PKCS12 формат в PEM сертификат

openssl pkcs12 –in cert.p12 –out cert.pem

Ако искате да използвате съществуващ pkcs12 формат с Apache или просто в pem формат, това ще бъде полезно.

Тествайте SSL сертификат на конкретен URL

openssl s_client -свържете yoururl.com:143 –показване

Използвам това доста често, за да валидирам SSL сертификата на конкретен URL адрес от сървъра. Това е много удобно за потвърждаване на подробности за протокола, шифъра и сертификата.

Разберете версията на OpenSSL

версия на opensl

Ако сте отговорни за осигуряването на OpenSSL е сигурен, вероятно едно от първите неща, което трябва да направите, е да проверите версията.

Проверете датата на изтичане на сертификата за PEM файл

openssl x509 -noout -в сертификата.pem -даде

Полезно, ако планирате да поставите някакъв мониторинг, за да проверите валидността. Той ще ви покаже дата в синтаксиса notBefore and notAfter. notAfter е един, който ще трябва да проверите, за да потвърдите дали сертификатът е изтекъл или все още е валиден.

Ex:

[[Имейл защитен] opt] # openssl x509 -noout -in bestflare.pem -даде
не преди= 4 юли 14:02:45 2015 GMT
notAfter= 4 август 09:46:42 2015 GMT
[[Имейл защитен] избирам]#

Проверете датата на изтичане на сертификата на SSL URL

openssl s_client -connect secureurl.com:243 2>/ dev / null | openssl x509 -noout –завърши

Друго полезно, ако планирате дистанционно да наблюдавате датата на изтичане на SSL cert или определен URL адрес.

Ex:

[[Имейл защитен] opt] # openssl s_client -connect google.com:243 2>/ dev / null | openssl x509 -noout -enddate

notAfter= 8 декември 12:00:00 2015 GMT

Проверете дали на URL адреса са приети SSL V2 или V3

За да проверите SSL V2

openssl s_client -connect secureurl.com:243 -ssl2

За да проверите SSL V3

openssl s_client -connect secureurl.com:243 –ssl3

За да проверите TLS 1.0

openssl s_client -connect secureurl.com:243 –tls1

За да проверите TLS 1.1

openssl s_client -connect secureurl.com:243 –tls1_1

За да проверите TLS 1.2

openssl s_client -connect secureurl.com:243 –tls1_2

Ако осигурявате уеб сървър и трябва да потвърдите дали SSL V2 / V3 е активиран или не, можете да използвате горната команда. Ако се активира, ще получите „СВЪРЗАН“Друго”неуспех при ръкостискане.”

Проверете дали конкретният шифър е приет на URL

openssl s_client -cipher ‘ECDHE-ECDSA-AES256-SHA’ -защитна връзка: 443

Ако работите върху констатациите за сигурност и резултатите от тестовете на химикалки показват, че някои от слабите шифри се приемат, за да потвърдите, можете да използвате горната команда.

Разбира се, ще трябва да промените шифъра и URL адреса, срещу които искате да тествате. Ако споменатият шифър е приет, тогава ще получите „СВЪРЗАН“Друго”неуспех при ръкостискане.”

Надявам се по-горе командите да ви помогнат да знаете повече за OpenSSL за управление SSL сертификати за вашия уебсайт.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map