21 ejemplos de OpenSSL para ayudarlo en el mundo real

Crear, gestionar & Convierta certificados SSL con OpenSSL


Uno de los comandos más populares en SSL para crear, convertir, gestionar los certificados SSL son OpenSSL.

Habrá muchas situaciones en las que tendrá que lidiar con OpenSSL de varias maneras, y aquí las he enumerado como una práctica hoja de trucos.

En este artículo, hablaré sobre los comandos OpenSSL de uso frecuente para ayudarlo en el mundo real.

Algunas de las abreviaturas relacionadas con los certificados..

  • SSL – Capa de conexión segura
  • CSR – Solicitud de firma de certificado
  • TLS – Seguridad de la capa de transporte
  • PEM – Correo con privacidad mejorada
  • DER – Reglas de codificación distinguidas
  • SHA – Algoritmo de hash seguro
  • PKCS – Estándares de criptografía de clave pública

Nota: Curso de operación SSL / TLS sería útil si no está familiarizado con los términos.

Crear nueva clave privada y solicitud de firma de certificado

openssl req -out geekflare.csr -newkey rsa: 2048 -nodes -keyout geekflare.key

El comando anterior generará CSR y un archivo de clave RSA de 2048 bits. Si tiene la intención de usar este certificado en Apache o Nginx, entonces debe enviar este archivo CSR a la autoridad emisora ​​del certificado, y le entregarán un certificado firmado principalmente en formato der o pem que debe configurar en el servidor web Apache o Nginx.

Crear un certificado autofirmado

openssl req -x509 -sha256 -nodes -newkey rsa: 2048 -keyout gfselfsigned.key -out gfcert.pem

El comando anterior generará un certificado autofirmado y un archivo de clave con RSA de 2048 bits. También he incluido sha256, ya que se considera más seguro en este momento..

Propina: de forma predeterminada, generará un certificado autofirmado válido solo por un mes, por lo que puede considerar definir el parámetro –days para extender la validez.

Ex: tener una firma propia válida por dos años.

openssl req -x509 -sha256 -nodes -days 730 -newkey rsa: 2048 -keyout gfselfsigned.key -out gfcert.pem

Verificar archivo CSR

openssl req -noout -text -in geekflare.csr

La verificación es esencial para asegurarse de que está enviando CSR a la autoridad emisora ​​con los detalles requeridos.

Crear clave privada RSA

openssl genrsa -out private.key 2048

Si solo necesita generar una clave privada RSA, puede usar el comando anterior. He incluido 2048 para un cifrado más seguro.

Eliminar frase de contraseña de clave

openssl rsa -in certkey.key -out nopassphrase.key

Si está usando una frase de contraseña en un archivo de clave y está usando Apache, cada vez que comience, debe ingresar la contraseña. Si le molesta ingresar una contraseña, puede usar openssl rsa -in geekflare.key -check para eliminar la clave de contraseña de una clave existente.

Verificar clave privada

openssl rsa -in certkey.key –check

Si tiene dudas sobre su archivo de clave, puede usar el comando anterior para verificar.

Verificar archivo de certificado

openssl x509 -in certfile.pem -text –noout

Si desea validar datos de certificados como CN, OU, etc., puede usar un comando anterior que le dará detalles del certificado.

Verifique la autoridad del firmante del certificado

openssl x509 -in certfile.pem -noout -issuer -issuer_hash

La autoridad emisora ​​del certificado firma cada certificado y, en caso de que necesite verificarlos.

Comprobar el valor hash de un certificado

openssl x509 -noout -hash -in bestflare.pem

Convertir DER a formato PEM

openssl x509 –inform der –in sslcert.der –out sslcert.pem

Por lo general, la autoridad de certificación le dará un certificado SSL en formato .der, y si necesita usarlos en formato apache o .pem, el comando anterior lo ayudará.

Convertir PEM a formato DER

openssl x509 –outform der –in sslcert.pem –out sslcert.der

En caso de que necesite cambiar el formato .pem a .der

Convertir certificado y clave privada al formato PKCS # 12

openssl pkcs12 –export –out sslcert.pfx –inkey key.pem –in sslcert.pem

Si necesita usar un certificado con la aplicación Java o con cualquier otra persona que acepte solo el formato PKCS # 12, puede usar el comando anterior, que generará un único certificado que contenga pfx & archivo de clave.

Propina: también puede incluir el certificado de cadena pasando –cadena como se muestra a continuación.

openssl pkcs12 –export –out sslcert.pfx –inkey key.pem –in sslcert.pem -chain cacert.pem

Crear CSR usando una clave privada existente

openssl req –out certificate.csr –key existente.key –new

Si no desea crear una nueva clave privada en lugar de una existente, puede ir con el comando anterior.

Verifique el contenido del certificado de formato PKCS12

openssl pkcs12 –info –nodes –in cert.p12

PKCS12 es un formato binario, por lo que no podrá ver el contenido en el bloc de notas u otro editor. El comando anterior lo ayudará a ver el contenido del archivo PKCS12.

Convertir formato PKCS12 a certificado PEM

openssl pkcs12 –in cert.p12 –out cert.pem

Si desea utilizar el formato pkcs12 existente con Apache o simplemente en formato pem, esto será útil..

Prueba de certificado SSL de URL particular

openssl s_client -connect yoururl.com:443 –showcerts

Lo uso con bastante frecuencia para validar el certificado SSL de una URL particular del servidor. Esto es muy útil para validar el protocolo, el cifrado y los detalles del certificado..

Descubra la versión de OpenSSL

versión openssl

Si es responsable de garantizar que OpenSSL sea seguro, probablemente una de las primeras cosas que debe hacer es verificar la versión.

Verifique la fecha de vencimiento del certificado del archivo PEM

openssl x509 -noout -in certificate.pem -dates

Útil si planea poner un poco de supervisión para verificar la validez. Le mostrará la fecha en la sintaxis notBefore and notAfter. NotAfter es uno que tendrá que verificar para confirmar si un certificado ha caducado o sigue siendo válido.

Ex:

[[correo electrónico protegido] opt] # openssl x509 -noout -in bestflare.pem -dates
no antes= 4 de julio 14:02:45 GMT de 2015
no después de= 4 de agosto 09:46:42 GMT de 2015
[[correo electrónico protegido] optar]#

Verifique la fecha de vencimiento del certificado de la URL SSL

openssl s_client -connect secureurl.com:443 2>/ dev / null | openssl x509 -noout –enddate

Otro útil si planea monitorear la fecha de vencimiento del certificado SSL de forma remota o una URL particular.

Ex:

[[correo electrónico protegido] opt] # openssl s_client -connect google.com:443 2>/ dev / null | openssl x509 -noout -enddate

no después de= 8 de diciembre 00:00:00 GMT de 2015

Compruebe si se acepta SSL V2 o V3 en la URL

Para verificar SSL V2

openssl s_client -connect secureurl.com:443 -ssl2

Para verificar SSL V3

openssl s_client -connect secureurl.com:443 –ssl3

Para verificar TLS 1.0

openssl s_client -connect secureurl.com:443 –tls1

Para verificar TLS 1.1

openssl s_client -connect secureurl.com:443 –tls1_1

Para verificar TLS 1.2

openssl s_client -connect secureurl.com:443 –tls1_2

Si está asegurando el servidor web y necesita validar si SSL V2 / V3 está habilitado o no, puede usar el comando anterior. Si está activado, obtendrá “CONECTADO“Más”falla de apretón de manos.”

Verifique si el cifrado particular se acepta en la URL

openssl s_client -cipher ‘ECDHE-ECDSA-AES256-SHA’ -connect secureurl: 443

Si está trabajando en hallazgos de seguridad y los resultados de la prueba de la pluma muestran que algunos de los cifrados débiles son aceptados, puede usar el comando anterior..

Por supuesto, tendrá que cambiar el cifrado y la URL, con los que desea probar. Si se acepta el cifrado mencionado, obtendrá “CONECTADO“Más”fallo de apretón de manos.”

Espero que los comandos anteriores te ayuden a saber más sobre OpenSSL para administrar Certificados SSL para su sitio web.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map