21 „OpenSSL“ pavyzdys, padėsiantis jums realiame pasaulyje

Kurti, valdyti & Konvertuokite SSL sertifikatus naudodami „OpenSSL“


Viena populiariausių SSL komandų į kurti, Paversti, valdyti SSL sertifikatai yra „OpenSSL“.

Bus daugybė situacijų, kai turėsite įvairiais būdais susidurti su „OpenSSL“, ir čia aš jas išvardinau kaip patogų žaidimų lapą..

Šiame straipsnyje kalbėsiu apie dažnai naudojamas „OpenSSL“ komandas, kurios padės jums realiame pasaulyje.

Kai kurios santrumpos susijusios su pažymėjimais.

  • SSL – saugus lizdo sluoksnis
  • CSR – pažymėjimo pasirašymo užklausa
  • TLS – transporto sluoksnio apsauga
  • PEM – privatumo patobulintas paštas
  • DER – atskirtos kodavimo taisyklės
  • SHA – saugaus maišos algoritmas
  • PKCS – viešojo rakto kriptografijos standartai

Pastaba: SSL / TLS veikimo kursas būtų naudinga, jei nesate susipažinę su terminais.

Sukurkite naują asmeninio rakto ir sertifikato pasirašymo užklausą

„openssl req“ – „geekflare.csr“ – naujo mygtuko rsa: 2048-mazgai –įveskite „geekflare.key“

Aukščiau nurodyta komanda sugeneruos CSR ir 2048 bitų RSA rakto failą. Jei ketinate naudoti šį sertifikatą „Apache“ ar „Nginx“, tuomet turite nusiųsti šį CSR failą sertifikatų išdavimo institucijai, o jie jums pateiks pasirašytą sertifikatą, dažniausiai der arba pem formatu, kurį turite konfigūruoti „Apache“ ar „Nginx“ žiniatinklio serveryje..

Susikurkite savarankiškai pasirašytą pažymėjimą

openssl req -x509 -sha256-nodes -newkey rsa: 2048 -keyout gfselfsigned.key -out gfcert.pem

Aukščiau nurodyta komanda sugeneruos savarankiškai pasirašytą sertifikatą ir rakto failą su 2048 bitų RSA. Aš taip pat įtraukiau „sha256“, nes jis šiuo metu laikomas saugiausiu.

Patarimas: pagal numatytuosius nustatymus jis sugeneruos savarankiškai pasirašytą sertifikatą, galiojantį tik vieną mėnesį, todėl galite nuspręsti apibrėžti –dienų parametrą, kad galėtumėte pratęsti galiojimą.

Pvz .: pasirašyti galioja dvejus metus.

„openssl req -x509 -sha256-nodes -days 730 -newkey rsa: 2048 -keyout gfselfsigned.key -out gfcert.pem

Patikrinkite CSR failą

„openssl req -noout -text -in geekflare.csr

Patikrinimas yra būtinas norint įsitikinti, kad siunčiate CSR emitento institucijai su reikalinga informacija.

Sukurkite RSA asmeninį raktą

„openssl genrsa -out private.key 2048“

Jei jums tiesiog reikia sugeneruoti RSA privatų raktą, galite naudoti aukščiau pateiktą komandą. Aš įtraukiau 2048 dėl stipresnio šifravimo.

Pašalinkite slaptafrazę iš rakto

„openssl rsa“ – „certkey.key“ – „nopassphrase.key“

Jei raktiniame faile naudojate slaptafrazę ir „Apache“, kiekvieną kartą paleisdami turite įvesti slaptažodį. Jei jus erzina slaptažodžio įvedimas, galite naudoti aukščiau openssl rsa -in geekflare.key -check, kad pašalintumėte slaptafrazės raktą iš esamo rakto..

Patikrinkite asmeninį raktą

openssl rsa -in certkey.key –check

Jei abejojate dėl pagrindinio failo, patikrinkite naudodami aukščiau pateiktą komandą.

Patikrinkite pažymėjimo failą

openssl x509 -in certfile.pem -text –noout

Jei norėtumėte patvirtinti sertifikatų duomenis, tokius kaip CN, OU ir tt, tada galite naudoti aukščiau pateiktą komandą, kuri suteiks jums pažymėjimo informaciją.

Patikrinkite Sertifikato pasirašymo tarnybą

„openssl x509“ -insertfile.pem -noout -issuer -issuer_hash

Sertifikatą išduodanti institucija pasirašo kiekvieną sertifikatą ir tuo atveju, jei reikia juos patikrinti.

Patikrinkite pažymėjimo sumaišytą vertę

„openssl x509“ -noout -hash -in bestflare.pem

Konvertuoti DER į PEM formatą

„openssl x509“ –inform der –in sslcert.der –out sslcert.pem

Paprastai sertifikatų institucija jums suteiks SSL sertifikatus .der formatu, o jei jums reikės juos naudoti apache arba .pem formatu, tada aukščiau pateikta komanda jums padės..

Konvertuoti PEM į DER formatą

openssl x509 – outform der –in sslcert.pem –out sslcert.der

Tuo atveju, jei reikia pakeisti .pem formatą į .der

Konvertuokite sertifikatą ir asmeninį raktą į PKCS # 12 formatą

„openssl“ pkcs12 –eksportas –out sslcert.pfx –raktinis klavišas.pem –in sslcert.pem

Jei jums reikia naudoti sertifikatą su „Java“ programa arba su bet kuriuo kitu, kuris priima tik PKCS # 12 formatą, galite naudoti aukščiau pateiktą komandą, kuri sugeneruos vieną „pfx“, kuriame yra sertifikatas & rakto failas.

Patarimas: taip pat galite įtraukti grandinės sertifikatą, praėję grandinę, kaip nurodyta toliau.

„openssl“ pkcs12 –eksportas –iš „sslcert.pfx“ – raktas į raktą.pem – į sslcert.pem – grandinė cacert.pem

Sukurkite CSR naudodami esamą privatų raktą

„openssl req“ – „certificate.csr“ – raktas esamas.key –naujas

Jei nenorite sukurti naujo privataus rakto, o ne naudoti esamą, galite pereiti naudodami aukščiau pateiktą komandą.

Patikrinkite PKCS12 formato sertifikatą

openssl pkcs12 –info – mazgai –insert.p12

PKCS12 yra dvejetainis formatas, todėl negalėsite žiūrėti turinio užrašų knygelėje ar kitame redaktoriuje. Aukščiau pateikta komanda padės jums pamatyti PKCS12 failo turinį.

Konvertuoti PKCS12 formatą į PEM sertifikatą

„openssl“ pkcs12 –insert.p12 –out cert.pem

Jei norite naudoti esamą „pkcs12“ formatą su „Apache“ arba tik „pem“ formatu, tai bus naudinga.

Išbandykite konkretaus URL SSL sertifikatą

„openssl s_client“ – prijunkite savourl.com:443 –parodymai

Aš tai gana dažnai naudoju tam tikro URL SSL sertifikatui patvirtinti iš serverio. Tai labai patogu patvirtinant protokolą, šifrą ir sertifikatų informaciją.

Sužinokite apie „OpenSSL“ versiją

openssl versija

Jei esate atsakingas už tai, kad „OpenSSL“ būtų saugus, tikriausiai vienas iš pirmųjų jūsų atliktų dalykų yra patikrinti versiją.

Patikrinkite PEM failo pažymėjimo galiojimo laiką

openssl x509 -noout -in certificate.pem -dates

Naudinga, jei ketinate atlikti stebėjimą, kad patikrintumėte galiojimą. Tai parodys datą ne „prieš“, nei po „“ sintaksėje. notAfter yra vienas, kurį turėsite patvirtinti, kad patvirtintumėte, ar pažymėjimo galiojimo laikas pasibaigė, ar vis dar galioja.

Pvz .:

[[apsaugotas el. paštu] opt] # openssl x509 -noout -in bestflare.pem -dates
ne prieš tai= 4 liepa 14:02:45 2015 GMT
ne po to= 4 rugpjūčio 09:46:42 2015 GMT
[[apsaugotas el. paštu] pasirinkti] #

Patikrinkite SSL URL pažymėjimo galiojimo laiką

openssl s_client -connect secureurl.com:443 2>/ dev / null | „openssl x509 -noout“ – atnaujinti

Kitas naudingas, jei planuojate nuotoliniu būdu stebėti SSL pažymėjimo galiojimo laiką ar tam tikrą URL.

Pvz .:

[[apsaugotas el. paštu] opt] # openssl s_client -connect google.com:443 2>/ dev / null | „openssl x509 -noout -enddate“

ne po to= 2015 m. Gruodžio 8 d. 00:00:00 GMT

Patikrinkite, ar SSL V2 ar V3 yra priimami URL

Norėdami patikrinti SSL V2

„openssl s_client -connect secureurl.com:443 -ssl2“

Norėdami patikrinti SSL V3

„openssl s_client -connect secureurl.com:443 –ssl3

Norėdami patikrinti TLS 1.0

„openssl s_client -connect secureurl.com:443 – tls1

Norėdami patikrinti TLS 1.1

„openssl s_client -connect secureurl.com:443 – tls1_1

Norėdami patikrinti TLS 1.2

„openssl s_client -connect secureurl.com:443 – tls1_2

Jei saugosite interneto serverį ir turite patvirtinti, ar įjungta SSL V2 / V3, galite naudoti aukščiau pateiktą komandą. Jei suaktyvinsite, gausite „JUNGTIS” Kitas “rankos paspaudimo nesėkmė.“

Patikrinkite, ar URL šifras priimamas

„openssl s_client -cipher ‘ECDHE-ECDSA-AES256-SHA’ -connect secureurl: 443

Jei dirbate su saugos išvadomis ir parkerio testo rezultatai rodo, kad kai kurie silpni šifrai yra priimti, tada norėdami juos patvirtinti, galite naudoti aukščiau pateiktą komandą.

Žinoma, turėsite pakeisti šifrą ir URL, kuriuos norite patikrinti. Jei minėtas šifras bus priimtas, tada gausite „JUNGTIS” Kitas “rankos paspaudimo nesėkmė.“

Tikiuosi, kad aukščiau pateiktos komandos padės jums sužinoti daugiau apie „OpenSSL“ valdymą SSL sertifikatai jūsų svetainei.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map