Запам’ятати всі команди напам’ять, і пам’ятати вічно — справа непроста. Взагалі не рекомендую цього робити, як би це дивно не звучало. Як на мене краще добре вміти користуватися довідником, чим неабияк забивати голову великим обсягом інформації, більша частина якої буде забуто, все тому що не знадобилася протягом тривалого часу.

Цей пост можна назвати навіть шпаргалкою, яка буде у вас під рукою, тут знаходиться вичавка з найбільш популярних команд OpenSSL. OpenSLL є універсальним інструментом, доступним для різних платформ, серед яких є і Linux. Даний інструмент має досить корисних функцій для роботи з сертифікатами і ключами.

Основні команди:

Створення нового приватного ключа і CSR запиту

openssl req -out CSR.csr -new -newkey rsa:2048 -nodes -keyout private.key

Створення самоподпісного сертифіката

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout private.key -out certificate.crt

Створення CSR запиту для існуючого приватного ключа

openssl req -out CSR.csr -private key.key –new

Створення нового CSR запиту на основі існуючого сертифіката

openssl x509 -x509toreq -in certificate.crt -out CSR.csr -signkey private.key

Видалення секретної фрази-пароля з приватного ключа

openssl rsa -in private.pem -out newPrivate.pem

Всі вище перераховані команди призначені для створення CSR запитів, сертифікатів, приватних ключів, і ін. задач. Так само існують команди для перегляду даних про сертифікат, CSR, закритих ключів, далі за текстом.

Команди для перевірки

Перевірка CSR запиту

openssl req -text -noout -verify -in CSR.csr

Перевірка приватного ключа

openssl rsa -in privateKey.key -check

Перевірка сертифіката

openssl x509 -in certificate.crt -text -noout

Перевірка файл PKCS#12 (.pfx або .p12)

openssl pkcs12 -info -in keyStore.p12

Іноді можуть з’являтися повідомлення про помилку, на подобі того що ключ не відповідає сертифікату, або ж сертифікат не є довіреним. Для рішення подібного роду проблем можна спробувати скористатися наступними командами.

openssl x509 -noout -modulus -in certificate.crt | openssl md5
openssl rsa -noout -modulus -in private.key | openssl md5
openssl req -noout -modulus -in CSR.csr | openssl md5

Ці команди перевіряють MD5-хеш відкритого ключа відповідність з CSR і приватного ключа.
Так само можна провести перевірку SSL з’єднання:

openssl s_client -connect www.paypal.com:443

Так само при необхідності є можливість перетворити сертифікати і ключі в інші формати. Робиться це звичайно для сумісності з конкретними типами серверів та програмного забезпечення.

Команди для конвертування

Конвертація файлу DER (.crt .cer .der) в PEM

openssl x509 -inform der -in certificate.cer -out certificate.pem

Конвертація файлу PEM DER:

openssl x509 -outform der -in certificate.pem -out certificate.der

Конвертація файлу PKCS#12, містить приватний ключ і сертифікат в PEM:

openssl pkcs12 -in keyStore.pfx -out keyStore.pem -nodes

Конвертування PEM файлу і приватного ключа в PKCS # 12:

openssl pkcs12 -export -out certificate.pfx -inkey private.key -in certificate.crt -certfile CACert.crt
Додав: htmaker, 28.11.2014 р.
(Ще не оцінили)

Завантаження…

Діліться з друзями:

См. також:


Оновлення пакетів в CentOS
Рубрика: Linux

Bash: mail: command not found
Рубрика: Linux

Виставляємо тимчасову зону в CentOS 7
Рубрика: Linux

Налаштування SELinux, включення, відключення
Рубрика: Linux, Інф. безпека

Змінюємо пароль root в MySQL 5.7
Рубрика: Linux, MySQL

Установка і настройка mSMTP на Linux
Рубрика: Linux

Установка GIT на CentOS 7
Рубрика: Linux

Як відключити IPv6 в CentOS 7?
Рубрика: Linux

Ротація логів в Linux
Рубрика: Apache, Linux