21 Exemples d’OpenSSL per ajudar-vos al món real

Crea, gestiona & Converteix certificats SSL amb OpenSSL


Un dels comandaments més populars de SSL a crear, convertir, gestionar els certificats SSL són OpenSSL.

Hi haurà moltes situacions en què haureu d’afrontar OpenSSL de diverses maneres, i us les he enumerat com a full de trampes útils..

En aquest article, parlaré d’ordres OpenSSL d’ús freqüent per ajudar-vos en el món real.

Algunes de les sigles relacionades amb els certificats.

  • SSL: Secure Socket Layer
  • RSE – Sol·licitud de signatura de certificat
  • TLS – Seguretat de la capa de transport
  • PEM – Correu millorat de privadesa
  • DER: Regles de codificació distingides
  • SHA – Algoritme Secure Hash
  • PKCS – Normes de criptografia en clau pública

Nota: Curs d’operació SSL / TLS us ajudaria si no coneixeu els termes.

Creeu una nova sol·licitud de signatura de clau privada i certificat

openssl req -out geekflare.csr -newkey rsa: 2048 -nodes -keyout geekflare.key

La comanda superior generarà fitxer clau RSE i 2048 bits RSA. Si voleu utilitzar aquest certificat a Apache o Nginx, haureu d’enviar aquest fitxer CSR a l’autoritat emissora de certificats, i us donaran un certificat signat principalment en format der o pem que cal configurar al servidor web d’Apache o Nginx..

Creeu un certificat autofirmat

openssl req -x509 -sha256 -nodes -newkey rsa: 2048 -keyout gfselfsigned.key -out gfcert.pem

La comanda superior generarà un certificat signat i un fitxer clau amb RSA de 2048 bits. També he inclòs sha256, ja que es considera més segur en aquest moment.

Consell: de manera predeterminada, generarà un certificat autofirmat vàlid només per un mes, de manera que podeu considerar la definició del paràmetre –days per ampliar la validesa.

Ex: tenir la signatura automàtica vàlida durant dos anys.

openssl req -x509 -sha256 -nodes-dies 730-nou rsa: 2048 -keyout gfselfsigned.key -out gfcert.pem

Verifiqueu el fitxer CSR

openssl req -noout -text -in geekflare.csr

La verificació és bàsica per assegurar-vos que envieu RSC a l’autoritat emissora amb els detalls necessaris.

Creeu clau privada RSA

openssl genrsa -out private.key 2048

Si només necessiteu generar clau privada RSA, podeu utilitzar la comanda anterior. He inclòs 2048 per a un xifrat més fort.

Treu la frase de contrasenya de la clau

openssl rsa -en certkey.key -out nopassphrase.key

Si utilitzeu la frase de contrasenya al fitxer de claus i feu servir Apache, cada vegada que inicieu, heu d’introduir la contrasenya. Si estàs molest en introduir una contrasenya, llavors podeu fer servir l’opció opensl rsa -in geekflare.key -check per eliminar la clau de contrasenya d’una clau existent.

Verifiqueu la clau privada

openssl rsa -in certkey.key –check

Si teniu dubte sobre el fitxer clau, podeu fer servir la comanda anterior.

Verifiqueu el fitxer de certificat

openssl x509 -in certfile.pem -text –noout

Si voleu validar dades del certificat com ara CN, OU, etc., podeu utilitzar una ordre anterior que us donarà detalls del certificat.

Verifiqueu l’Autoritat signant del certificat

openssl x509 -in certfile.pem -noout -issuer -issuer_hash

L’autoritat emissora de certificats signa tots els certificats i per si necessiteu comprovar-los.

Comproveu el valor obtingut d’un certificat

openssl x509 -noout -hash -in bestflare.pem

Converteix DER en format PEM

openssl x509 –inform der –in sslcert.der –out sslcert.pem

Normalment, l’autoritat de certificat us donarà cert certificat SSL en format .der, i si els heu de fer servir en format apache o .pem, l’ordre anterior us ajudarà.

Converteix PEM en format DER

openssl x509 –outform der –in sslcert.pem –out sslcert.der

En cas que necessiteu canviar el format .pem a .der

Converteix el certificat i la clau privada en format PKCS # 12

openssl pkcs12 –export –out sslcert.pfx –inkey key.pem –in sslcert.pem

Si heu d’utilitzar un certificat amb l’aplicació java o amb qualsevol altre que accepti només el format PKCS # 12, podeu utilitzar l’ordre anterior, que generarà un certificat que conté pfx únic & fitxer de clau.

Consell: també podeu incloure un certificat de cadena passant-cadena com a sota.

openssl pkcs12 –export –out sslcert.pfx –inkey key.pem –in sslcert.pem -chain cacert.pem

Creeu RSC mitjançant una clau privada existent

openssl req –out certificate.csr –key eżistenti.key –new

Si no voleu crear una nova clau privada en lloc de fer-ne servir una existent, podeu anar amb la comanda anterior.

Comproveu el contingut del format PKCS12 cert

openssl pkcs12 –info –nodes –in cert.p12

PKCS12 té un format binari per la qual cosa no podreu veure el contingut en un bloc de notes ni en un altre editor. La comanda anterior us ajudarà a veure el contingut del fitxer PKCS12.

Converteix el format PKCS12 en certificat PEM

openssl pkcs12 –in cert.p12 –out cert.pem

Si voleu utilitzar el format pkcs12 existent amb Apache o només en format pem, us serà útil.

Prova el certificat SSL d’URL particular

openssl s_client -connect yoururl.com:443 –spectacles

Jo faig servir sovint per validar el certificat SSL d’URL particular del servidor. Això és molt útil per validar els detalls del protocol, xifrat i cert.

Informeu-vos de la versió d’OpenSSL

versió openssl

Si sou responsables de que OpenSSL sigui segur, probablement una de les primeres coses que heu de fer és verificar la versió.

Comproveu la data de caducitat del certificat de fitxer PEM

openssl x509 -noout -in certificate.pem -dates

És útil si teniu previst posar una mica de control per comprovar la validesa. Us mostrarà la data en la sintaxi NotBefore i NotAfter. NotAfter és un que haureu de verificar per confirmar si un certificat ha caducat o encara és vigent.

Ex:

[[correu electrònic protegit] optar] # openssl x509 -noout -in bestflare.pem -dates
no abans= 4 jul. 14:02:45 2015 GMT
més tard= 4 agost 09:46:42 2015 GMT
[[correu electrònic protegit] optar] #

Comproveu la data de caducitat del certificat de l’URL SSL

openssl s_client -connect secururl.com:443 2>/ dev / null | openssl x509 -noout –enddate

Un altre element útil si teniu previst controlar la data de caducitat del certificat SSL de manera remota o amb un URL particular.

Ex:

[[correu electrònic protegit] optar] # openssl s_client -connect google.com:443 2>/ dev / null | openssl x509 -noout -enddate

més tard= 8 de desembre, 00:00:00, 2015 GMT

Comproveu si SSL V2 o V3 s’accepta a l’URL

Per comprovar SSL V2

openssl s_client -connect secururl.com:443 -ssl2

Per comprovar SSL V3

openssl s_client -connect secururl.com:443 –ssl3

Per comprovar TLS 1.0

openssl s_client -connect secururl.com:443 –tls1

Per comprovar TLS 1.1

openssl s_client -connect secururl.com:443 –tls1_1

Per comprovar TLS 1.2

openssl s_client -connect secururl.com:443 –tls1_2

Si esteu assegurant un servidor web i necessiteu validar si SSL V2 / V3 està habilitat o no, podeu utilitzar l’ordre anterior. Si està activat, obtindreu “CONEGUT“Més”falla de cop de mà.”

Verifiqueu si s’admet el xifrat particular a l’URL

openssl s_client -cipher ‘ECDHE-ECDSA-AES256-SHA’ -connectur seguretat: 443

Si estàs treballant en els resultats de seguretat i els resultats de les proves de ploma mostren que algunes de les xifres febles són acceptades, per validar, pots fer servir l’ordre anterior..

Per descomptat, haureu de canviar el xifrat i l’URL amb el qual voleu provar. Si s’accepta el xifrat esmentat, obtindreu “CONEGUT“Més”falla de cop de mà.”

Espero que les ordres anteriors us ajudin a saber més sobre OpenSSL per gestionar Certificats SSL per al vostre lloc web.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map