21 ОпенССЛ примера који ће вам помоћи у стварном свету

by
Tweet
Share
Share
Pin

Креирајте, управљајте и конвертујте ССЛ сертификате помоћу ОпенССЛ-а

Једна од најпопуларнијих команди у ССЛ-у за креирање, конвертовање и управљање ССЛ сертификатима је ОпенССЛ.

Биће много ситуација у којима ћете морати да се носите са ОпенССЛ-ом на различите начине, а овде сам вам их навео као згодну варалицу.

У овом чланку ћу говорити о често коришћеним ОпенССЛ командама које ће вам помоћи у стварном свету.

Неке од скраћеница се односе на сертификате.

  • ССЛ – Сецуре Соцкет Лаиер
  • ЦСР – Захтев за потписивање сертификата
  • ТЛС – Сигурност транспортног слоја
  • ПЕМ – Пошта са побољшаном приватношћу
  • ДЕР – Дистингуисхед Енцодинг Рулес
  • СХА – Алгоритам безбедног хеширања
  • ПКЦС – Стандарди криптографије јавног кључа

Белешка: Курс ССЛ/ТЛС операције било би од помоћи ако нисте упознати са условима.

Преглед садржаја

Креирајте нови приватни кључ и захтев за потписивање сертификата

openssl req -out techblog.co.rs.csr -newkey rsa:2048 -nodes -keyout techblog.co.rs.key

Горња команда ће генерисати ЦСР и 2048-битну РСА кључну датотеку. Ако намеравате да користите овај сертификат у Апацхе или Нгинк, онда морате да пошаљете ову ЦСР датотеку ауторитету за издавање сертификата и они ће вам дати потписани сертификат углавном у дер или пем формату који морате да конфигуришете на Апацхе или Нгинк веб серверу .

  Како опоравити трајно избрисане датотеке из Гоогле фотографија

Направите самопотписани сертификат

openssl req -x509 -sha256 -nodes -newkey rsa:2048 -keyout gfselfsigned.key -out gfcert.pem

Горња команда ће генерисати самопотписани сертификат и кључну датотеку са 2048-битним РСА. Такође сам укључио сха256 јер се сматра најбезбеднијим у овом тренутку.

Савет: подразумевано ће генерисати самопотписани сертификат који важи само један месец, тако да можете размислити о дефинисању параметра –даис да бисте продужили важност.

На пример: самопотписани рок важења две године.

openssl req -x509 -sha256 -nodes -days 730 -newkey rsa:2048 -keyout gfselfsigned.key -out gfcert.pem

Проверите ЦСР датотеку

openssl req -noout -text -in techblog.co.rs.csr

Верификација је неопходна да бисте били сигурни да шаљете ЦСР органу издаваоца са потребним детаљима.

Креирајте РСА приватни кључ

openssl genrsa -out private.key 2048

Ако само треба да генеришете РСА приватни кључ, можете користити горњу команду. Укључио сам 2048 за јаче шифровање.

Уклоните приступну фразу из кључа

openssl rsa -in certkey.key -out nopassphrase.key

Ако користите приступну фразу у кључној датотеци и користите Апацхе онда сваки пут када покренете, морате да унесете лозинку. Ако вас нервира унос лозинке, онда можете користити горњу опцију опенссл рса -ин вдзвдз.кеи -цхецк да бисте уклонили кључ за приступну фразу из постојећег кључа.

Проверите приватни кључ

openssl rsa -in certkey.key –check

Ако сумњате у своју кључну датотеку, можете користити горњу команду да проверите.

Проверите датотеку сертификата

openssl x509 -in certfile.pem -text –noout

Ако желите да потврдите податке сертификата као што су ЦН, ОУ, итд., онда можете користити горњу команду која ће вам дати детаље сертификата.

Проверите ауторитет за потписнике сертификата

openssl x509 -in certfile.pem -noout -issuer -issuer_hash

Ауторитет за издавање сертификата потписује сваки сертификат иу случају да је потребно да га проверите.

  Како елиминисати ресурсе који блокирају приказивање у ВордПресс-у [Plugins or Manually]

Проверите хеш вредност сертификата

openssl x509 -noout -hash -in bestflare.pem

Претворите ДЕР у ПЕМ формат

openssl x509 –inform der –in sslcert.der –out sslcert.pem

Обично ће вам ауторитет за сертификате дати ССЛ сертификат у .дер формату, а ако треба да их користите у апацхе или .пем формату онда ће вам горња команда помоћи.

Претворите ПЕМ у ДЕР формат

openssl x509 –outform der –in sslcert.pem –out sslcert.der

У случају да треба да промените .пем формат у .дер

Претворите сертификат и приватни кључ у формат ПКЦС#12

openssl pkcs12 –export –out sslcert.pfx –inkey key.pem –in sslcert.pem

Ако треба да користите сертификат са јава апликацијом или са било којом другом која прихвата само ПКЦС#12 формат, можете користити горњу команду, која ће генерисати један пфк који садржи сертификат и датотеку кључа.

Савет: такође можете да укључите сертификат ланца преношењем –цхаин као у наставку.

openssl pkcs12 –export –out sslcert.pfx –inkey key.pem –in sslcert.pem -chain cacert.pem

Креирајте ЦСР користећи постојећи приватни кључ

openssl req –out certificate.csr –key existing.key –new

Ако не желите да креирате нови приватни кључ уместо да користите постојећи, можете користити горњу команду.

Проверите садржај сертификата формата ПКЦС12

openssl pkcs12 –info –nodes –in cert.p12

ПКЦС12 је бинарни формат тако да нећете моћи да видите садржај у бележници или другом уређивачу. Горња команда ће вам помоћи да видите садржај ПКЦС12 датотеке.

Конвертујте ПКЦС12 формат у ПЕМ сертификат

openssl pkcs12 –in cert.p12 –out cert.pem

Ако желите да користите постојећи пкцс12 формат са Апацхе-ом или само у пем формату, ово ће бити корисно.

  Како променити име Аирдроп - иПад, иПхоне, Мац [2022]

Тестирајте ССЛ сертификат одређене УРЛ адресе

openssl s_client -connect yoururl.com:443 –showcerts

Ово често користим за валидацију ССЛ сертификата одређеног УРЛ-а са сервера. Ово је веома згодно за проверу детаља протокола, шифре и сертификата.

Сазнајте верзију ОпенССЛ-а

openssl version

Ако сте одговорни да обезбедите да је ОпенССЛ безбедан, вероватно је једна од првих ствари које морате да урадите да проверите верзију.

Проверите датум истека сертификата ПЕМ датотеке

openssl x509 -noout -in certificate.pem -dates

Корисно ако планирате да ставите неки надзор да бисте проверили валидност. Показаће вам датум у синтакси нотБефоре и нотАфтер. нотАфтер је један који ћете морати да верификујете да бисте потврдили да ли је сертификат истекао или још увек важи.

нпр.

[[email protected] opt]# openssl x509 -noout -in bestflare.pem -dates
notBefore=Jul 4 14:02:45 2015 GMT
notAfter=Aug 4 09:46:42 2015 GMT
[[email protected] opt]#

Проверите датум истека сертификата за ССЛ УРЛ

openssl s_client -connect secureurl.com:443 2>/dev/null | openssl x509 -noout –enddate

Још једно корисно ако планирате даљински да надгледате датум истека ССЛ сертификата или одређени УРЛ.

нпр.

[[email protected] opt]# openssl s_client -connect google.com:443 2>/dev/null | openssl x509 -noout -enddate

notAfter=Dec 8 00:00:00 2015 GMT

Проверите да ли је ССЛ В2 или В3 прихваћен на УРЛ-у

Да бисте проверили ССЛ В2

openssl s_client -connect secureurl.com:443 -ssl2

Да бисте проверили ССЛ В3

openssl s_client -connect secureurl.com:443 –ssl3

Да проверите ТЛС 1.0

openssl s_client -connect secureurl.com:443 –tls1

Да проверите ТЛС 1.1

openssl s_client -connect secureurl.com:443 –tls1_1

Да проверите ТЛС 1.2

openssl s_client -connect secureurl.com:443 –tls1_2

Ако обезбеђујете веб сервер и морате да проверите да ли је ССЛ В2/В3 омогућен или не, можете користити горњу команду. Ако се активира, добићете „ПОВЕЗАНО“ у супротном „Неуспешно руковање“.

Проверите да ли је одређена шифра прихваћена на УРЛ-у

openssl s_client -cipher 'ECDHE-ECDSA-AES256-SHA' -connect secureurl:443

Ако радите на безбедносним налазима и резултати теста оловке показују да су неке од слабих шифри прихваћене, а затим их потврдите, можете користити горњу команду.

Наравно, мораћете да промените шифру и УРЛ, према којима желите да тестирате. Ако се поменута шифра прихвати, добићете „ПОВЕЗАНО“ у супротном „неуспешно руковање“.

Надам се да ће вам горње команде помоћи да сазнате више о ОпенССЛ-у за управљање ССЛ сертификатима за вашу веб локацију.