пятница, 12 апреля 2013 г.

Наиболее популярные команды OpenSSL

Регулярно забываю команды для openssl :(.
Решил записать основные из них
Ниже перечислены наиболее распространенные команды OpenSSL и варианты их использования:

Основные команды:

Эти команды позволяют создать CSR запросы, сертификаты, приватные ключи, а так же выполнять другие задачи.
Создание нового приватного ключа и CSR запроса:
openssl req -out CSR.csr -new -newkey rsa:2048 -nodes -keyout privateKey.key
Создание самоподписаного сертификата:
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout privateKey.key -out certificate.crt
Создание CSR запроса для существующего приватного ключа:
openssl req -out CSR.csr -key privateKey.key -new
Создание нового CSR запроса на основе существующего сертификата:
openssl x509 -x509toreq -in certificate.crt -out CSR.csr -signkey privateKey.key
Удаление секретной фразы-пароля из приватного ключа:
openssl rsa -in privateKey.pem -out newPrivateKey.pem

Использование OpenSSL для проверки:

Если вам необходимо проверить информацию о сертификате, CSR или закрытом ключе, используйте эти команды:
Проверка CSR запроса:
openssl req -text -noout -verify -in CSR.csr
Проверка приватного ключа:
openssl rsa -in privateKey.key -check
Проверка сертификата:
openssl x509 -in certificate.crt -text -noout
Проверка файла PKCS#12 (.pfx или .p12):
openssl pkcs12 -info -in keyStore.p12

Использование OpenSSL для исправления ошибок:

Если вы получаете сообщение об ошибке, что приватный ключ не соответствует сертификату или установленный сертификат не является доверенным, попробуйте использовать одну из этих команд:

Проверка MD5 хеша открытого ключа для проверки соответствия с CSR и приватным ключем:
openssl x509 -noout -modulus -in certificate.crt | openssl md5
openssl rsa -noout -modulus -in privateKey.key | openssl md5
openssl req -noout -modulus -in CSR.csr | openssl md5
Проверка SSL соединения:
openssl s_client -connect www.paypal.com:443

Использование OpenSSL для конвертирования:


Эти команды позволяют преобразовать сертификаты и ключи в различные форматы, чтобы сделать их совместимыми с конкретными типами серверов или программного обеспечения. Например, вы можете конвертировать обычный файл PEM, который будет работать с Apache, в формат PFX (PKCS # 12) для использования его с Tomcat или IIS.  
Конвертирование файла DER (.crt .cer .der) в PEM:
openssl x509 -inform der -in certificate.cer -out certificate.pem
Конвертирование файла PEM в DER:
openssl x509 -outform der -in certificate.pem -out certificate.der
Конвертирование файла PKCS
openssl pkcs12 -inkey key.pem -in cert.cert -export -out pfxcert.pfx


Получаем сертифкат с сервера
openssl s_client -showcerts -connect <host>:<port>

Ссылки:
Наиболее популярные команды OpenSSL
Wiki OpenSSL (Rus)

Комментариев нет:

Отправить комментарий