21 Contoh OpenSSL untuk Membantu Anda di Dunia Nyata

Buat, Kelola & Konversi Sertifikat SSL dengan OpenSSL


Salah satu perintah paling populer di SSL untuk membuat, mengubah, mengelola Sertifikat SSL adalah OpenSSL.

Akan ada banyak situasi di mana Anda harus berurusan dengan OpenSSL dengan berbagai cara, dan di sini saya telah mendaftarkannya untuk Anda sebagai lembar cheat berguna.

Pada artikel ini, saya akan berbicara tentang perintah OpenSSL yang sering digunakan untuk membantu Anda di dunia nyata.

Beberapa singkatan terkait dengan sertifikat.

  • SSL – Secure Socket Layer
  • CSR – Permintaan Penandatanganan Sertifikat
  • TLS – Transport Layer Security
  • PEM – Privasi Enhanced Mail
  • DER – Aturan Pengkodean Khusus
  • SHA – Algoritma Hash Aman
  • PKCS – Standar Kriptografi Kunci Publik

catatan: Kursus operasi SSL / TLS akan sangat membantu jika Anda tidak terbiasa dengan persyaratan.

Buat Kunci Pribadi dan Permintaan Penandatanganan Sertifikat baru

openssl req -out geekflare.csr -newkey rsa: 2048 -nodes -keyout geekflare.key

Perintah di atas akan menghasilkan CSR dan file kunci RSA 2048-bit. Jika Anda bermaksud menggunakan sertifikat ini di Apache atau Nginx, maka Anda perlu mengirim file CSR ini ke otoritas penerbit sertifikat, dan mereka akan memberi Anda sertifikat yang ditandatangani sebagian besar dalam format der atau pem yang perlu Anda konfigurasi di server web Apache atau Nginx.

Buat Sertifikat yang Ditandatangani Sendiri

openssl req -x509 -sha256 -nodes -newkey rsa: 2048 -keyout gfselfsigned.key -out gfcert.pem

Perintah di atas akan menghasilkan sertifikat dan file kunci yang ditandatangani sendiri dengan RSA 2048-bit. Saya juga memasukkan sha256 karena dianggap paling aman saat ini.

Tip: secara default, itu akan menghasilkan sertifikat yang ditandatangani sendiri hanya berlaku untuk satu bulan sehingga Anda dapat mempertimbangkan mendefinisikan –hari parameter untuk memperpanjang validitas.

Ex: untuk ditandatangani sendiri berlaku selama dua tahun.

openssl req -x509 -sha256 -nodes -days 730 -newkey rsa: 2048 -keyout gfselfsigned.key-out gfcert.pem

Verifikasi file CSR

openssl req -tidak ada -teks -di geekflare.csr

Verifikasi sangat penting untuk memastikan Anda mengirim CSR ke otoritas penerbit dengan rincian yang diperlukan.

Buat Kunci Pribadi RSA

openssl genrsa -out private.key 2048

Jika Anda hanya perlu membuat kunci privat RSA, Anda dapat menggunakan perintah di atas. Saya telah memasukkan 2048 untuk enkripsi yang lebih kuat.

Hapus Frasa Sandi dari Kunci

membuka rsa -in certkey.key -out nopassphrase.key

Jika Anda menggunakan frasa sandi dalam file kunci dan menggunakan Apache maka setiap kali Anda mulai, Anda harus memasukkan kata sandi. Jika Anda terganggu dengan memasukkan kata sandi, maka Anda dapat menggunakan openssl rsa -in geekflare.key -check untuk menghapus kunci frasa sandi dari kunci yang ada.

Verifikasi Kunci Pribadi

openssl rsa -in certkey.key –check

Jika Anda ragu dengan file kunci Anda, Anda dapat menggunakan perintah di atas untuk memeriksa.

Verifikasi File Sertifikat

openssl x509 -dalam certfile.pem -teks –tidak

Jika Anda ingin memvalidasi data sertifikat seperti CN, OU, dll. Maka Anda dapat menggunakan perintah di atas yang akan memberi Anda detail sertifikat.

Verifikasi Otoritas Penandatangan Sertifikat

openssl x509 -dalam certfile.pem -tidak keluar -issuer -issuer_hash

Otoritas penerbit sertifikat menandatangani setiap sertifikat dan jika Anda perlu memeriksanya.

Periksa Nilai Hash Sertifikat A

openssl x509 -tidak -hash -dalam bestflare.pem

Ubah format DER ke PEM

openssl x509 –inform der –in sslcert.der –out sslcert.pem

Biasanya, otoritas sertifikat akan memberi Anda sertifikat SSL dalam format .der, dan jika Anda perlu menggunakannya dalam format apache atau .pem maka perintah di atas akan membantu Anda.

Konversi PEM ke format DER

openssl x509 –format der –in sslcert.pem –out sslcert.der

Jika Anda perlu mengubah format .pem ke .der

Konversi Sertifikat dan Kunci Pribadi ke format PKCS # 12

openssl pkcs12 –export –out sslcert.pfx –inkey key.pem –di sslcert.pem

Jika Anda perlu menggunakan sertifikat dengan aplikasi java atau dengan yang lain yang hanya menerima format PKCS # 12, Anda dapat menggunakan perintah di atas, yang akan menghasilkan satu sertifikat yang mengandung pfx. & file kunci.

Tip: Anda juga dapat menyertakan sertifikat berantai dengan meneruskan – rantai seperti di bawah ini.

openssl pkcs12 –export –out sslcert.pfx –inkey key.pem –di sslcert.pem-chain cacert.pem

Buat CSR menggunakan kunci pribadi yang ada

openssl req –out Certificate.csr –kunci yang ada.kunci –baru

Jika Anda tidak ingin membuat kunci pribadi baru alih-alih menggunakan yang sudah ada, Anda bisa pergi dengan perintah di atas.

Periksa isi sertifikat format PKCS12

openssl pkcs12 –info –nodes –in cert.p12

PKCS12 adalah format biner sehingga Anda tidak akan dapat melihat konten di notepad atau editor lain. Perintah di atas akan membantu Anda melihat isi file PKCS12.

Ubah format PKCS12 ke sertifikat PEM

membuka pkcs12 –di cert.p12 –di cert.pem

Jika Anda ingin menggunakan format pkcs12 yang ada dengan Apache atau hanya dalam format pem, ini akan berguna.

Uji sertifikat SSL untuk URL tertentu

openssl s_client -connect yoururl.com:443 -showcerts

Saya menggunakan ini cukup sering untuk memvalidasi sertifikat SSL dari URL tertentu dari server. Ini sangat berguna untuk memvalidasi detail protokol, cipher, dan cert.

Cari tahu versi OpenSSL

versi openssl

Jika Anda bertanggung jawab untuk memastikan OpenSSL aman maka mungkin salah satu hal pertama yang harus Anda lakukan adalah memverifikasi versi.

Periksa Tanggal Kedaluwarsa Sertifikat File PEM

membukasl x509 -tidak ada -di sertifikat.pem -tanggal

Berguna jika Anda berencana melakukan pemantauan untuk memeriksa validitas. Ini akan menunjukkan tanggal Anda di notBefore dan notSetelah sintaks. notAfter adalah salah satu yang harus Anda verifikasi untuk mengonfirmasi jika sertifikat kedaluwarsa atau masih berlaku.

Ex:

[[dilindungi email] opt] # openssl x509 -tidak ada -dalam bestflare.pem -tanggal
tidak sebelum= 4 Jul 14:02:45 2015 GMT
tidak setelah= 4 Agustus 09:46:42 2015 GMT
[[dilindungi email] memilih]#

Periksa Tanggal Kedaluwarsa Sertifikat URL SSL

openssl s_client -connect secureurl.com:443 2>/ dev / null | openssl x509 -tidak ada -akhirkan

Lain bermanfaat jika Anda berencana untuk memonitor tanggal kedaluwarsa sertifikat SSL jarak jauh atau URL tertentu.

Ex:

[[dilindungi email] opt] # openssl s_client -connect google.com:443 2>/ dev / null | openssl x509 -tidak ada -akhirkan

tidak setelah= 8 Des 00:00:00 2015 GMT

Periksa apakah SSL V2 atau V3 diterima di URL

Untuk memeriksa SSL V2

openssl s_client -connect secureurl.com:443 -ssl2

Untuk Memeriksa SSL V3

openssl s_client -connect secureurl.com:443 –ssl3

Untuk Memeriksa TLS 1.0

openssl s_client -connect secureurl.com:443 –tls1

Untuk Memeriksa TLS 1.1

openssl s_client -connect secureurl.com:443 –tls1_1

Untuk Memeriksa TLS 1.2

openssl s_client -connect secureurl.com:443 –tls1_2

Jika Anda mengamankan server web dan perlu memvalidasi apakah SSL V2 / V3 diaktifkan atau tidak, Anda dapat menggunakan perintah di atas. Jika diaktifkan, Anda akan mendapatkan “TERHUBUNG” lain “kegagalan jabat tangan.”

Verifikasi apakah sandi tertentu diterima di URL

openssl s_client -cipher ‘ECDHE-ECDSA-AES256-SHA’ -connect secureurl: 443

Jika Anda bekerja pada temuan keamanan dan hasil tes pena menunjukkan beberapa cipher lemah diterima maka untuk memvalidasi, Anda dapat menggunakan perintah di atas.

Tentu saja, Anda harus mengubah kode sandi dan URL yang ingin Anda uji. Jika sandi yang disebutkan diterima, maka Anda akan mendapatkan “TERHUBUNG” lain “kegagalan jabat tangan.”

Saya harap perintah di atas membantu Anda mengetahui lebih banyak tentang OpenSSL untuk dikelola Sertifikat SSL untuk situs web Anda.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map