21 דוגמאות של OpenSSL שיעזרו לכם בעולם האמיתי

צור, נהל & המרת תעודות SSL באמצעות OpenSSL


אחת הפקודות הפופולריות ביותר ב- SSL ל ליצור, להמיר, לנהל תעודות ה- SSL הן OpenSSL.

יהיו הרבה סיטואציות בהן אתה צריך להתמודד עם OpenSSL בדרכים שונות, והנה פירטתי אותם עבורך כגליון רמאות שימושי..

במאמר זה אדבר על פקודות OpenSSL המשמשות לעיתים קרובות כדי לעזור לכם בעולם האמיתי.

חלק מהקיצורים הקשורים לתעודות.

  • SSL – שכבת שקע מאובטחת
  • CSR – בקשת חתימה על אישור
  • TLS – אבטחת שכבת תעבורה
  • PEM – דואר משופר בפרטיות
  • DER – כללי קידוד מובחנים
  • SHA – אלגוריתם האש מאובטח
  • PKCS – תקני קריפטוגרפיה במפתח ציבורי

פתק: קורס פעולת SSL / TLS יעזור אם אינך מכיר את התנאים.

צור בקשת חתימה אישית ומפתח חתימה על אישור

openssl req -out geekflare.csr -newkey rsa: 2048 -nodes -keyout geekflare.key

למעלה מהפקודה תייצר CSR וקובץ מפתח RSA 2048 סיביות. אם אתה מתכוון להשתמש בתעודה זו ב- Apache או Nginx, עליך לשלוח קובץ CSR זה לרשות מנפיק האישורים, והם יתנו לך אישור חתום בעיקר בפורמט der או pem שאתה צריך להגדיר בשרת Apache או Nginx..

צור תעודה עם חתימה עצמית

openssl req -x509 -sha256 -nodes -newkey rsa: 2048 -keyout gfselfsIGN.key -out gfcert.pem

הפקודה למעלה תפיק תעודה חתימה עצמית וקובץ מפתח עם RSA 2048 סיביות. צירפתי גם את sha256 כפי שהוא נחשב הכי מאובטח כרגע.

טיפ: כברירת מחדל, זה יפיק אישור חתימה עצמית בתוקף לחודש בלבד, כך שתוכל לשקול להגדיר פרמטר-ימים להארכת תוקף.

דוגמה: להיות בעל חתימה עצמית בתוקף לשנתיים.

openssl req -x509 -sh256-צמתים -ימים 730-חדש rsa: 2048 -keyout gfselfsIGN.key -out gfcert.pem

אמת את קובץ ה- CSR

openssl req -noout -text -in geekflare.csr

אימות הוא חיוני כדי להבטיח שאתה שולח CSR לרשות המנפיק עם הפרטים הנדרשים.

צור מפתח פרטי RSA

openssl genrsa -out private.key 2048

אם אתה רק צריך ליצור מפתח פרטי RSA, אתה יכול להשתמש בפקודה שלעיל. כללתי 2048 להצפנה חזקה יותר.

הסר את ביטוי הסיסמה מהמפתח

openssl rsa -in certkey.key -out nopassphrase.key

אם אתה משתמש במשפט סיסמה בקובץ מפתח ומשתמש באפצ’י, בכל פעם שאתה מתחיל, עליך להזין את הסיסמה. אם אתה מתעצבן מהזנת סיסמה, אתה יכול להשתמש מעל openssl rsa -in geekflare.key-הסימון כדי להסיר את מפתח ביטוי הסיסמה ממפתח קיים.

אמת את המפתח הפרטי

openssl rsa -in certkey.key – לבדוק

אם אתה מטיל ספק בקובץ המפתח שלך, אתה יכול להשתמש בפקודה שלעיל כדי לבדוק.

אמת את קובץ האישור

openssl x509 -in certfile.pem -text – אין

אם ברצונך לאמת נתוני אישורים כמו CN, OU וכו ‘, תוכל להשתמש בפקודה שלמעלה שתתן לך פרטי אישור..

אמת את רשות חתימת האישורים

openssl x509 -in certfile.pem -לא-מפיץ-מפסק_האש

רשות מנפיק האישורים חותמת על כל תעודה ובמקרה שעליך לבדוק אותם.

בדוק את ערך ההאש של תעודה

openssl x509 -לא -האש-ב bestflare.pem

המר DER לפורמט PEM

openssl x509 – inform der –in sslcert.der –out sslcert.pem

לרוב, רשות האישורים תעניק לך אישור SSL בפורמט .der, ואם אתה צריך להשתמש בהם בפורמט apache או .pem, הפקודה שלעיל תעזור לך.

המרת PEM לפורמט DER

openssl x509 – למלא את der -in sslcert.pem –out sslcert.der

במקרה שתצטרך לשנות את פורמט ה- .pem ל- .der

המר אישור ומפתח פרטי לתבנית PKCS # 12

openssl pkcs12 – ייצוא – מתוך sslcert.pfx – key key.pem –in sslcert.pem

אם אתה צריך להשתמש באישור עם יישום הג’אווה או עם כל אחד אחר שמקבל רק בפורמט PKCS # 12, אתה יכול להשתמש בפקודה שלמעלה, שתייצר אישור pfx יחיד המכיל & קובץ מפתח.

טיפ: אתה יכול גם לכלול אישור שרשרת על ידי העברת ‘chain’ להלן.

openssl pkcs12 – ייצוא – מחוץ sslcert.pfx – key key.pem –in sslcert.pem -chain cacert.pem

צור CSR באמצעות מפתח פרטי קיים

openssl req –out Certificate.csr –key קיים. מפתח – חדש

אם אינך רוצה ליצור מפתח פרטי חדש במקום להשתמש במפתח קיים, תוכל לעבור עם הפקודה שלעיל.

בדוק את התוכן של אישור בפורמט PKCS12

openssl pkcs12 –Info –nodes –in cert.p12

PKCS12 הוא פורמט בינארי כך שלא תוכלו להציג את התוכן בפנקס הרשימות או בעורך אחר. הפקודה שלעיל תעזור לכם לראות את התוכן של קובץ PKCS12.

המרת פורמט PKCS12 לתעודת PEM

openssl pkcs12 – ב cert.p12 – מחוץ cert.pem

אם ברצונך להשתמש בתבנית קיימת pkcs12 עם Apache או סתם בפורמט pem, זה יהיה שימושי.

בדוק תעודת SSL של כתובת URL מסוימת

openssl s_client – קשר את yoururl.com:443 –צגות ראווה

אני משתמש בזה לעתים קרובות למדי כדי לאמת את אישור ה- SSL של כתובת URL מסוימת מהשרת. זה מאוד שימושי לאימות פרטי הפרוטוקול, הצופן והסמכת.

גלה את גרסת OpenSSL

גרסת

אם אתה אחראי להבטיח ש- OpenSSL מאובטח, כנראה שאחד הדברים הראשונים שעליך לעשות הוא לאמת את הגירסה.

בדוק את תאריך התפוגה של אישור קובץ PEM

openssl x509 -לא-בתוך תעודה.פם-תאריכים

שימושי אם אתם מתכננים לבצע פיקוח מסוים בכדי לבדוק את תקפותם. זה יראה לך תאריך ב- notForore ולא בתחביר. notAfter הוא כזה שתצטרך לאמת כדי לאשר אם אישור פג או עדיין תקף.

דוגמה:

[[מוגן בדוא”ל] בחר] # openssl x509 -לא-ב-תאריכי bestflare.pem
לא לפני= 4 ביולי 14:02:45 2015 GMT
לא אחרי= 4 באוגוסט 09:46:42 2015 GMT
[[מוגן בדוא”ל] העדיף]#

בדוק את תאריך תפוגה של כתובת ה- SSL

openssl s_client -connect secureurl.com:443 2>/ dev / null | openssl x509 -לא-תאריך

שימושי נוסף אם אתה מתכנן לפקח מרחוק על תאריך התפוגה של אישור SSL או כתובת אתר מסוימת.

דוגמה:

[[מוגן בדוא”ל] בחר] # openssl s_client – התחבר google.com:443 2>/ dev / null | openssl x509 -לא-תאריך תאריך

לא אחרי= 8 בדצמבר 00:00:00 2015 GMT

בדוק אם SSL V2 או V3 מתקבלים בכתובת URL

לבדיקת SSL V2

openssl s_client -connect secureurl.com:443 -ssl2

לבדיקת SSL V3

openssl s_client -connect secureurl.com:443 –ssl3

לבדיקת TLS 1.0

openssl s_client -connect secureurl.com:443 –tls1

לבדיקת TLS 1.1

openssl s_client -connect secureurl.com:443 –tls1_1

לבדיקת TLS 1.2

openssl s_client -connect secureurl.com:443 –tls1_2

אם אתה מאבטח שרת אינטרנט ואתה צריך לאמת אם SSL V2 / V3 מופעל או לא, אתה יכול להשתמש בפקודה שלעיל. אם מופעל, תקבל “מחובר“אחר”כישלון לחיצת יד.”

ודא אם הצופן הספציפי מתקבל בכתובת URL

openssl s_client -cipher ‘ECDHE-ECDSA-AES256-SHA’ – חיבור אבטחה: 443

אם אתה עובד על ממצאי אבטחה ותוצאות בדיקות בעט מראים שחלק מהצ’יפים החלשים מתקבלים אז לצורך אימות, תוכל להשתמש בפקודה שלמעלה.

כמובן שתצטרך לשנות את הצופן ואת כתובת האתר, שאותם ברצונך לבדוק. אם הצופן המצוין יתקבל, תקבל “מחובר“אחר”כישלון לחיצת יד.”

אני מקווה שהפקודות שלעיל עוזרות לך לדעת יותר על ניהול OpenSSL תעודות SSL עבור אתר האינטרנט שלך.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map