21 OpenSSL Príklady, ktoré vám pomôžu v reálnom svete

Vytvoriť, spravovať & Prevod SSL certifikátov s OpenSSL


Jeden z najpopulárnejších príkazov v protokole SSL vytvoriť, convert, spravovať SSL certifikáty sú OpenSSL.

Bude veľa situácií, keď budete musieť pracovať s OpenSSL rôznymi spôsobmi, a tu som ich uviedol ako užitočný podvádzač..

V tomto článku budem hovoriť o často používaných príkazoch OpenSSL, ktoré vám pomôžu v reálnom svete.

Niektoré skratky sa vzťahujú na osvedčenia.

  • SSL – Secure Socket Layer
  • CSR – Žiadosť o podpísanie certifikátu
  • TLS – Transport Layer Security
  • PEM – Pošta na ochranu súkromia
  • DER – Rozlišovacie pravidlá kódovania
  • SHA – zabezpečený algoritmus hashovania
  • PKCS – Kryptografické štandardy s verejným kľúčom

Poznámka: Kurz prevádzky SSL / TLS bolo by užitočné, ak nie ste oboznámení s podmienkami.

Vytvorte novú žiadosť o podpísanie súkromného kľúča a certifikátu

openssl req -out geekflare.csr -newkey rsa: 2048 -nodes -keyout geekflare.key

Vyššie uvedený príkaz vygeneruje CSR a 2048-bitový súbor kľúčov RSA. Ak plánujete používať tento certifikát v Apache alebo Nginx, musíte tento súbor CSR odoslať certifikačnému orgánu vydávateľovi certifikátov, ktorý vám dá podpísaný certifikát väčšinou vo formáte der alebo pem, ktorý musíte nakonfigurovať vo webovom serveri Apache alebo Nginx..

Vytvorte certifikát s vlastným podpisom

openssl req -x509 -sha256 -nodes -newkey rsa: 2048 -keyout gfselfsigned.key -out gfcert.pem

Vyššie uvedený príkaz vygeneruje certifikát s vlastným podpisom a súbor kľúčov s 2048-bitovou RSA. Zahrnula som aj sha256, pretože sa v súčasnosti považuje za najbezpečnejšiu.

Tip: v predvolenom nastavení vygeneruje certifikát s vlastným podpisom platný iba jeden mesiac, takže môžete zvážiť definovanie parametra –days na predĺženie platnosti.

ex: vlastnoručne podpísaný dva roky.

openssl req -x509 -sha256 -nodes -days 730 -newkey rsa: 2048 -keyout gfselfsigned.key -out gfcert.pem

Overte súbor CSR

openssl req -noout -text -in geekflare.csr

Overenie je nevyhnutné, aby ste sa uistili, že posielate správu o chemickej bezpečnosti vydávajúcemu orgánu s požadovanými podrobnosťami.

Vytvorte súkromný kľúč RSA

openssl genrsa -out private.key 2048

Ak potrebujete iba vygenerovať súkromný kľúč RSA, môžete použiť príkaz uvedený vyššie. Zaradil som 2048 pre silnejšie šifrovanie.

Odstráňte prístupové frázy z kľúča

openssl rsa -in certkey.key -out nopassphrase.key

Ak používate prístupovú frázu v súbore kľúčov a používate Apache, musíte pri každom spustení zadať heslo. Ak ste naštvaný zadaním hesla, môžete pomocou vyššie uvedeného príkazu openssl rsa -in geekflare.key -check odstrániť kľúčovú frázu z existujúceho kľúča..

Overte súkromný kľúč

openssl rsa -in certkey.key –check

Ak máte pochybnosti o súbore kľúčov, môžete skontrolovať príkaz uvedený vyššie.

Overte súbor certifikátu

openssl x509 -in certfile.pem -text –noout

Ak chcete overiť údaje certifikátu, ako sú CN, OU atď., Môžete použiť príkaz uvedený vyššie, ktorý vám poskytne podrobnosti o certifikáte..

Overte autoritu podpisovateľa certifikátov

openssl x509 -in certfile.pem -noout -issuer -issuer_hash

Orgán vydávajúci certifikát podpíše každý certifikát av prípade, že ich potrebujete skontrolovať.

Skontrolujte hodnotu hash hodnoty osvedčenia A

openssl x509 -noout -hash -in bestflare.pem

Konvertovať DER do formátu PEM

openssl x509 – inform der –in sslcert.der –out sslcert.pem

Certifikačná autorita vám zvyčajne dá certifikát SSL vo formáte .der a ak ich potrebujete použiť vo formáte apache alebo .pem, vyššie uvedený príkaz vám pomôže.

Prevod PEM do formátu DER

openssl x509 –outform der –in sslcert.pem –out sslcert.der

V prípade, že potrebujete zmeniť formát .pem na .der

Prevedenie certifikátu a súkromného kľúča do formátu PKCS # 12

openssl pkcs12 –export –out sslcert.pfx –inkey key.pem –in sslcert.pem

Ak potrebujete použiť cert s aplikáciou java alebo s akýmkoľvek iným, kto akceptuje iba formát PKCS # 12, môžete použiť príkaz vyššie, ktorý vygeneruje jeden certifikát obsahujúci súbor pfx. & súbor kľúčov.

Tip: môžete tiež zahrnúť reťazový certifikát tak, že prejdete reťazcom ako je uvedené nižšie.

openssl pkcs12 –export –out sslcert.pfx –inkey key.pem –in sslcert.pem -chain cacert.pem

Vytvorte CSR pomocou existujúceho súkromného kľúča

openssl req –out certificate.csr –key exist.key –new

Ak nechcete namiesto toho vytvoriť nový súkromný kľúč, môžete použiť príkaz uvedený vyššie.

Skontrolujte obsah certifikátu formátu PKCS12

openssl pkcs12 –info –nodes –in cert.p12

PKCS12 je binárny formát, takže nebudete môcť zobraziť obsah v poznámkovom bloku alebo v inom editore. Vyššie uvedený príkaz vám pomôže vidieť obsah súboru PKCS12.

Konvertovať formát PKCS12 na certifikát PEM

openssl pkcs12 –in cert.p12 –out cert.pem

Ak chcete použiť existujúci formát pkcs12 s Apache alebo len vo formáte pem, bude to užitočné.

Otestujte certifikát SSL konkrétnej adresy URL

openssl s_client -connect yoururl.com:443 –showcerts

Toto často používam na overenie SSL certifikátu konkrétnej URL zo servera. Toto je veľmi užitočné na overenie podrobností o protokole, šifre a certifikáte.

Zistite verziu OpenSSL

otvorená verzia

Ak ste zodpovední za zabezpečenie bezpečnosti OpenSSL, pravdepodobne jednou z prvých vecí, ktorú musíte urobiť, je overiť verziu.

Skontrolujte dátum vypršania platnosti súboru PEM

openssl x509 -noout -in certificate.pem -data

Je to užitočné, ak plánujete vykonať nejaké kontroly na kontrolu platnosti. Ukáže vám dátum v syntaxi notBefore a notAfter. notAfter je ten, ktorý musíte overiť, aby ste potvrdili, či platnosť certifikátu vypršala alebo je stále platná.

ex:

[[Email protected] opt] # openssl x509 – noout – in bestflare.pem – date
nie predtým= 4. júla 14:02:45 2015 GMT
NotAfter= 4 august 09:46:42 2015 GMT
[[Email protected] opt] #

Skontrolujte dátum vypršania platnosti certifikátu SSL URL

openssl s_client -connect secureurl.com:443 2>/ dev / null openssl x509 -noout –date

Ďalšie užitočné, ak plánujete vzdialene sledovať dátum vypršania platnosti certifikátu SSL alebo konkrétnu adresu URL.

ex:

[[Email protected] opt] # openssl s_client -connect google.com:443 2>/ dev / null openssl x509 – noout – date

NotAfter= 8. decembra 00:00:00 2015 GMT

Skontrolujte, či je na adrese URL akceptovaný protokol SSL V2 alebo V3

Kontrola SSL V2

openssl s_client -connect secureurl.com:443 -ssl2

Kontrola SSL V3

openssl s_client -connect secureurl.com:443 –ssl3

Ak chcete skontrolovať TLS 1.0

openssl s_client -connect secureurl.com:443 –tls1

Kontrola TLS 1.1

openssl s_client -connect secureurl.com:443 –tls1_1

Kontrola TLS 1.2

openssl s_client -connect secureurl.com:443 –tls1_2

Ak zabezpečujete webový server a potrebujete overiť, či je protokol SSL V2 / V3 povolený alebo nie, môžete použiť príkaz uvedený vyššie. Ak je aktivovaná, dostanete „SPOJENIE„Else“zlyhanie handshake.”

Skontrolujte, či je konkrétna šifra akceptovaná na adrese URL

openssl s_client – ‘ECDHE-ECDSA-AES256-SHA’ -connect secureurl: 443

Ak pracujete na bezpečnostných nálezoch a výsledky testu perom ukazujú, že niektoré slabé šifry sú akceptované, potom ich potvrďte, môžete použiť vyššie uvedený príkaz.

Samozrejme budete musieť zmeniť šifru a adresu URL, s ktorou chcete testovať. Ak je uvedená šifra akceptovaná, dostanete „SPOJENIE„Else“zlyhanie handshake.”

Dúfam, že vyššie uvedené príkazy vám pomôžu dozvedieť sa viac o správe OpenSSL SSL certifikáty pre váš web.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map