Запам’ятати всі команди напам’ять, і пам’ятати вічно — справа непроста. Взагалі не рекомендую цього робити, як би це дивно не звучало. Як на мене краще добре вміти користуватися довідником, чим неабияк забивати голову великим обсягом інформації, більша частина якої буде забуто, все тому що не знадобилася протягом тривалого часу.
Цей пост можна назвати навіть шпаргалкою, яка буде у вас під рукою, тут знаходиться вичавка з найбільш популярних команд OpenSSL. OpenSLL є універсальним інструментом, доступним для різних платформ, серед яких є і Linux. Даний інструмент має досить корисних функцій для роботи з сертифікатами і ключами.
Основні команди:
Створення нового приватного ключа і CSR запиту
openssl req -out CSR.csr -new -newkey rsa:2048 -nodes -keyout private.key
Створення самоподпісного сертифіката
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout private.key -out certificate.crt
Створення CSR запиту для існуючого приватного ключа
openssl req -out CSR.csr -private key.key –new
Створення нового CSR запиту на основі існуючого сертифіката
openssl x509 -x509toreq -in certificate.crt -out CSR.csr -signkey private.key
Видалення секретної фрази-пароля з приватного ключа
openssl rsa -in private.pem -out newPrivate.pem
Всі вище перераховані команди призначені для створення CSR запитів, сертифікатів, приватних ключів, і ін. задач. Так само існують команди для перегляду даних про сертифікат, CSR, закритих ключів, далі за текстом.
Команди для перевірки
Перевірка CSR запиту
openssl req -text -noout -verify -in CSR.csr
Перевірка приватного ключа
openssl rsa -in privateKey.key -check
Перевірка сертифіката
openssl x509 -in certificate.crt -text -noout
Перевірка файл PKCS#12 (.pfx або .p12)
openssl pkcs12 -info -in keyStore.p12
Іноді можуть з’являтися повідомлення про помилку, на подобі того що ключ не відповідає сертифікату, або ж сертифікат не є довіреним. Для рішення подібного роду проблем можна спробувати скористатися наступними командами.
openssl x509 -noout -modulus -in certificate.crt | openssl md5
openssl rsa -noout -modulus -in private.key | openssl md5
openssl req -noout -modulus -in CSR.csr | openssl md5
Ці команди перевіряють MD5-хеш відкритого ключа відповідність з CSR і приватного ключа.
Так само можна провести перевірку SSL з’єднання:
openssl s_client -connect www.paypal.com:443
Так само при необхідності є можливість перетворити сертифікати і ключі в інші формати. Робиться це звичайно для сумісності з конкретними типами серверів та програмного забезпечення.
Команди для конвертування
Конвертація файлу DER (.crt .cer .der) в PEM
openssl x509 -inform der -in certificate.cer -out certificate.pem
Конвертація файлу PEM DER:
openssl x509 -outform der -in certificate.pem -out certificate.der
Конвертація файлу PKCS#12, містить приватний ключ і сертифікат в PEM:
openssl pkcs12 -in keyStore.pfx -out keyStore.pem -nodes
Конвертування PEM файлу і приватного ключа в PKCS # 12:
openssl pkcs12 -export -out certificate.pfx -inkey private.key -in certificate.crt -certfile CACert.crt
Додав: htmaker, 28.11.2014 р.
(Ще не оцінили)
Завантаження…
Діліться з друзями:
См. також:
Оновлення пакетів в CentOS
Рубрика: Linux
Bash: mail: command not found
Рубрика: Linux
Виставляємо тимчасову зону в CentOS 7
Рубрика: Linux
Налаштування SELinux, включення, відключення
Рубрика: Linux, Інф. безпека
Змінюємо пароль root в MySQL 5.7
Рубрика: Linux, MySQL
Установка і настройка mSMTP на Linux
Рубрика: Linux
Установка GIT на CentOS 7
Рубрика: Linux
Як відключити IPv6 в CentOS 7?
Рубрика: Linux
Ротація логів в Linux
Рубрика: Apache, Linux