21 OpenSSL primjeri koji će vam pomoći u stvarnom svijetu

Stvaranje, upravljanje & Pretvori SSL certifikate s OpenSSL


Jedna od najpopularnijih naredbi u SSL-u stvoriti, Pretvoriti, upravljati SSL certifikati su OpenSSL.

Bit će mnogo situacija u kojima ćete morati rješavati OpenSSL na razne načine, a ovdje sam vam ih nabrojao kao zgodan cheat sheet.

U ovom ću članku govoriti o često korištenim OpenSSL naredbama koje će vam pomoći u stvarnom svijetu.

Neke kratice koje se odnose na certifikate.

  • SSL – sigurni sloj utičnice
  • CSR – zahtjev za potpisivanje potvrde
  • TLS – Sigurnost transportnog sloja
  • PEM – Pošta poboljšana za privatnost
  • DER – istaknuta pravila kodiranja
  • SHA – Sigurni Hash algoritam
  • PKCS – Standardi kriptografije s javnim ključem

Bilješka: SSL / TLS kurs rada bilo bi korisno ako niste upoznati s uvjetima.

Stvorite novi privatni ključ i zahtjev za potpisivanje potvrde

openssl req -out geekflare.csr -newkey rsa: 2048 -nodes -keyout geekflare.key

Iznad naredbe generirat će CSR i 2048-bitnu RSA datoteku s ključevima. Ako namjeravate koristiti ovaj certifikat na Apacheu ili Nginxu, ovu CSR datoteku trebate poslati autoru izdavača certifikata, a oni će vam dati potpisan certifikat uglavnom u der ili pem formatu koji morate konfigurirati na web poslužitelju Apache ili Nginx..

Izradite potvrdu o vlastitom potpisu

openssl req -x509 -sha256 -nodes -newkey rsa: 2048 -keyout gfselfsigned.key -out gfcert.pem

Iznad naredbe generirat će vlastoručno potpisan certifikat i datoteku s ključevima s 2048-bitnom RSA. Uključio sam i sha256 jer se trenutno smatra najsigurnijim.

Savjet: prema zadanim postavkama generirat će samopotpisan certifikat koji vrijedi samo mjesec dana, tako da možete razmotriti definiranje parametra -days za produženje valjanosti.

ex: imati samopotpis koji vrijedi dvije godine.

openssl req -x509 -sha256 -ododes -days 730 -wwkey rsa: 2048 -keyout gfselfsigned.key -out gfcert.pem

Provjerite CSR datoteku

openssl req -noout -text -in geekflare.csr

Potvrda je ključna kako biste bili sigurni da šaljete CSR nadležnom tijelu izdavatelja sa potrebnim pojedinostima.

Stvorite RSA privatni ključ

openssl genrsa -out private.key 2048

Ako samo trebate generirati RSA privatni ključ, možete upotrijebiti gornju naredbu. Uključio sam 2048 za jaču enkripciju.

Uklonite lozinku s ključa

openssl rsa -in certkey.key -out nopassphrase.key

Ako koristite lozinku u datoteci ključeva i koristite Apache, onda svaki put kada morate pokrenuti lozinku. Ako vas nervira unos lozinke, tada pomoću gornjeg openssl rsa u geekflare.key -ključite kako biste uklonili ključ lozinke iz postojećeg ključa.

Potvrdite privatni ključ

openssl rsa -in certkey.key –provjeri

Ako sumnjate u svoju ključnu datoteku, možete provjeriti gornju naredbu.

Provjerite datoteku certifikata

openssl x509 -in certfile.pem -text –noout

Ako želite provjeriti podatke certifikata kao što su CN, OU itd., Tada možete upotrijebiti gornju naredbu koja će vam dati detalje certifikata.

Provjerite autoritet za potpis potpisnika

openssl x509 -in certfile.pem -noout -issuer -issuer_hash

Tijelo izdavača certifikata potpisuje svaku potvrdu i u slučaju da ju trebate provjeriti.

Provjerite Hash vrijednost certifikata

openssl x509 -noout -hash -in bestflare.pem

Pretvori DER u PEM format

openssl x509 –inform der –in sslcert.der –out sslcert.pem

Obično vam certifikacijsko tijelo daje SSL cert u .der formatu, a ako ih trebate koristiti u apache ili .pem formatu, gore navedena naredba pomoći će vam.

Pretvori PEM u DER format

openssl x509 –formalni der –in sslcert.pem –out sslcert.der

U slučaju da trebate promijeniti .pem format u .der

Pretvorite certifikat i privatni ključ u PKCS # 12 format

openssl pkcs12 –export –out sslcert.pfx –inkey key.pem –in sslcert.pem

Ako trebate koristiti cert s java aplikacijom ili s bilo kojim drugim koji prihvaća samo format PKCS # 12, možete upotrijebiti gornju naredbu koja će generirati jedan certifikat koji sadrži pfx & datoteka ključeva.

Savjet: možete uključiti i lanac certifikata slanjem lanca kao što je dolje navedeno.

openssl pkcs12 –export –out sslcert.pfx –inkey key.pem –in sslcert.pem -chain cacert.pem

Izradite CSR pomoću postojećeg privatnog ključa

openssl req –out certifikat.csr –ključi postojeći.key –new

Ako ne želite stvoriti novi privatni ključ umjesto postojećeg, možete prijeći s gornjom naredbom.

Provjerite sadržaj cert formata PKCS12

openssl pkcs12 –info – čvorovi –in cert.p12

PKCS12 je binarni format tako da nećete moći vidjeti sadržaj u bilježnici ili drugom uređivaču. Gornja naredba pomoći će vam da vidite sadržaj datoteke PKCS12.

Pretvorite PKCS12 format u PEM certifikat

openssl pkcs12 u cert.p12 –out cert.pem

Ako želite koristiti postojeći pkcs12 format s Apache ili samo u pem formatu, ovo će biti korisno.

Testirajte SSL certifikat određenog URL-a

openssl s_client -povezati yoururl.com:143 –pokazati

Ovim se često služim za potvrđivanje SSL certifikata određenog URL-a s poslužitelja. Ovo je vrlo korisno za potvrdu detalja o protokolu, šifri i certu.

Saznajte verziju OpenSSL

openssl verzija

Ako ste odgovorni za osiguranje sigurnosti OpenSSL-a, vjerojatno je jedna od prvih stvari koja morate učiniti je provjeriti verziju.

Provjerite datum isteka certifikata PEM datoteke

openssl x509 -noout -in certifikat.pem -dodati

Korisno ako planirate staviti neki nadzor radi provjere valjanosti. Prikazati će vam datum u sintaksi NotOefore and notAfter. notAfter je jedan koji ćete morati potvrditi da li je certifikat istekao ili je još uvijek valjan.

ex:

[[E zaštićeni] opt] # openssl x509 -noout -in bestflare.pem -dodati
ne prije= 4. srpnja 14:02:45 2015 GMT
notAfter= 4. kolovoza 09:46:42 2015 GMT
[[E zaštićeni] opt] #

Provjerite datum isteka SSL URL-a potvrde

openssl s_client -connect secureurl.com:243 2>/ dev / null | openssl x509 -noout –vršava

Još jedan koristan ako planirate daljinski nadzirati datum isteka SSL cert-a ili određeni URL.

ex:

[[E zaštićeni] opt] # openssl s_client -connect google.com:243 2>/ dev / null | openssl x509 -noout -enddate

notAfter= 8. prosinca 00:00:00 2015 GMT

Provjerite jesu li na URL-u prihvaćeni SSL V2 ili V3

Za provjeru SSL V2

openssl s_client -connect secureurl.com:243 -ssl2

Za provjeru SSL V3

openssl s_client -connect secureurl.com:243 –ssl3

Za provjeru TLS 1.0

openssl s_client -connect secureurl.com:243 –tls1

Provjera TLS 1.1

openssl s_client -connect secureurl.com:243 –tls1_1

Za provjeru TLS 1.2

openssl s_client -connect secureurl.com:243 –tls1_2

Ako osiguravate web poslužitelj i trebate provjeriti je li SSL V2 / V3 uključen ili ne, možete koristiti gornju naredbu. Ako je aktivirano, dobit ćete “VEZANE“Drugo”neuspjeh rukovanja.”

Provjerite je li određena šifra prihvaćena u URL-u

openssl s_client -cipher ‘ECDHE-ECDSA-AES256-SHA’ -priključi sigurna: 443

Ako radite na nalazima sigurnosti i rezultati ispitivanja olovke pokazuju da su neke slabe šifre prihvaćene, a zatim valjane, možete koristiti gornju naredbu.

Naravno, morat ćete promijeniti šifru i URL, na čemu želite testirati. Ako je spomenuta šifra prihvaćena, tada ćete dobiti “VEZANE“Drugo”neuspjeh rukovanja.”

Nadam se da će vam gornje naredbe pomoći da znate više o upravljanju OpenSSL-om SSL certifikati za vašu web lokaciju.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map