Креирајте, управљајте и конвертујте ССЛ сертификате помоћу ОпенССЛ-а
Једна од најпопуларнијих команди у ССЛ-у за креирање, конвертовање и управљање ССЛ сертификатима је ОпенССЛ.
Биће много ситуација у којима ћете морати да се носите са ОпенССЛ-ом на различите начине, а овде сам вам их навео као згодну варалицу.
У овом чланку ћу говорити о често коришћеним ОпенССЛ командама које ће вам помоћи у стварном свету.
Неке од скраћеница се односе на сертификате.
- ССЛ – Сецуре Соцкет Лаиер
- ЦСР – Захтев за потписивање сертификата
- ТЛС – Сигурност транспортног слоја
- ПЕМ – Пошта са побољшаном приватношћу
- ДЕР – Дистингуисхед Енцодинг Рулес
- СХА – Алгоритам безбедног хеширања
- ПКЦС – Стандарди криптографије јавног кључа
Белешка: Курс ССЛ/ТЛС операције било би од помоћи ако нисте упознати са условима.
Преглед садржаја
Креирајте нови приватни кључ и захтев за потписивање сертификата
openssl req -out techblog.co.rs.csr -newkey rsa:2048 -nodes -keyout techblog.co.rs.key
Горња команда ће генерисати ЦСР и 2048-битну РСА кључну датотеку. Ако намеравате да користите овај сертификат у Апацхе или Нгинк, онда морате да пошаљете ову ЦСР датотеку ауторитету за издавање сертификата и они ће вам дати потписани сертификат углавном у дер или пем формату који морате да конфигуришете на Апацхе или Нгинк веб серверу .
Направите самопотписани сертификат
openssl req -x509 -sha256 -nodes -newkey rsa:2048 -keyout gfselfsigned.key -out gfcert.pem
Горња команда ће генерисати самопотписани сертификат и кључну датотеку са 2048-битним РСА. Такође сам укључио сха256 јер се сматра најбезбеднијим у овом тренутку.
Савет: подразумевано ће генерисати самопотписани сертификат који важи само један месец, тако да можете размислити о дефинисању параметра –даис да бисте продужили важност.
На пример: самопотписани рок важења две године.
openssl req -x509 -sha256 -nodes -days 730 -newkey rsa:2048 -keyout gfselfsigned.key -out gfcert.pem
Проверите ЦСР датотеку
openssl req -noout -text -in techblog.co.rs.csr
Верификација је неопходна да бисте били сигурни да шаљете ЦСР органу издаваоца са потребним детаљима.
Креирајте РСА приватни кључ
openssl genrsa -out private.key 2048
Ако само треба да генеришете РСА приватни кључ, можете користити горњу команду. Укључио сам 2048 за јаче шифровање.
Уклоните приступну фразу из кључа
openssl rsa -in certkey.key -out nopassphrase.key
Ако користите приступну фразу у кључној датотеци и користите Апацхе онда сваки пут када покренете, морате да унесете лозинку. Ако вас нервира унос лозинке, онда можете користити горњу опцију опенссл рса -ин вдзвдз.кеи -цхецк да бисте уклонили кључ за приступну фразу из постојећег кључа.
Проверите приватни кључ
openssl rsa -in certkey.key –check
Ако сумњате у своју кључну датотеку, можете користити горњу команду да проверите.
Проверите датотеку сертификата
openssl x509 -in certfile.pem -text –noout
Ако желите да потврдите податке сертификата као што су ЦН, ОУ, итд., онда можете користити горњу команду која ће вам дати детаље сертификата.
Проверите ауторитет за потписнике сертификата
openssl x509 -in certfile.pem -noout -issuer -issuer_hash
Ауторитет за издавање сертификата потписује сваки сертификат иу случају да је потребно да га проверите.
Проверите хеш вредност сертификата
openssl x509 -noout -hash -in bestflare.pem
Претворите ДЕР у ПЕМ формат
openssl x509 –inform der –in sslcert.der –out sslcert.pem
Обично ће вам ауторитет за сертификате дати ССЛ сертификат у .дер формату, а ако треба да их користите у апацхе или .пем формату онда ће вам горња команда помоћи.
Претворите ПЕМ у ДЕР формат
openssl x509 –outform der –in sslcert.pem –out sslcert.der
У случају да треба да промените .пем формат у .дер
Претворите сертификат и приватни кључ у формат ПКЦС#12
openssl pkcs12 –export –out sslcert.pfx –inkey key.pem –in sslcert.pem
Ако треба да користите сертификат са јава апликацијом или са било којом другом која прихвата само ПКЦС#12 формат, можете користити горњу команду, која ће генерисати један пфк који садржи сертификат и датотеку кључа.
Савет: такође можете да укључите сертификат ланца преношењем –цхаин као у наставку.
openssl pkcs12 –export –out sslcert.pfx –inkey key.pem –in sslcert.pem -chain cacert.pem
Креирајте ЦСР користећи постојећи приватни кључ
openssl req –out certificate.csr –key existing.key –new
Ако не желите да креирате нови приватни кључ уместо да користите постојећи, можете користити горњу команду.
Проверите садржај сертификата формата ПКЦС12
openssl pkcs12 –info –nodes –in cert.p12
ПКЦС12 је бинарни формат тако да нећете моћи да видите садржај у бележници или другом уређивачу. Горња команда ће вам помоћи да видите садржај ПКЦС12 датотеке.
Конвертујте ПКЦС12 формат у ПЕМ сертификат
openssl pkcs12 –in cert.p12 –out cert.pem
Ако желите да користите постојећи пкцс12 формат са Апацхе-ом или само у пем формату, ово ће бити корисно.
Тестирајте ССЛ сертификат одређене УРЛ адресе
openssl s_client -connect yoururl.com:443 –showcerts
Ово често користим за валидацију ССЛ сертификата одређеног УРЛ-а са сервера. Ово је веома згодно за проверу детаља протокола, шифре и сертификата.
Сазнајте верзију ОпенССЛ-а
openssl version
Ако сте одговорни да обезбедите да је ОпенССЛ безбедан, вероватно је једна од првих ствари које морате да урадите да проверите верзију.
Проверите датум истека сертификата ПЕМ датотеке
openssl x509 -noout -in certificate.pem -dates
Корисно ако планирате да ставите неки надзор да бисте проверили валидност. Показаће вам датум у синтакси нотБефоре и нотАфтер. нотАфтер је један који ћете морати да верификујете да бисте потврдили да ли је сертификат истекао или још увек важи.
нпр.
[[email protected] opt]# openssl x509 -noout -in bestflare.pem -dates notBefore=Jul 4 14:02:45 2015 GMT notAfter=Aug 4 09:46:42 2015 GMT [[email protected] opt]#
Проверите датум истека сертификата за ССЛ УРЛ
openssl s_client -connect secureurl.com:443 2>/dev/null | openssl x509 -noout –enddate
Још једно корисно ако планирате даљински да надгледате датум истека ССЛ сертификата или одређени УРЛ.
нпр.
[[email protected] opt]# openssl s_client -connect google.com:443 2>/dev/null | openssl x509 -noout -enddate notAfter=Dec 8 00:00:00 2015 GMT
Проверите да ли је ССЛ В2 или В3 прихваћен на УРЛ-у
Да бисте проверили ССЛ В2
openssl s_client -connect secureurl.com:443 -ssl2
Да бисте проверили ССЛ В3
openssl s_client -connect secureurl.com:443 –ssl3
Да проверите ТЛС 1.0
openssl s_client -connect secureurl.com:443 –tls1
Да проверите ТЛС 1.1
openssl s_client -connect secureurl.com:443 –tls1_1
Да проверите ТЛС 1.2
openssl s_client -connect secureurl.com:443 –tls1_2
Ако обезбеђујете веб сервер и морате да проверите да ли је ССЛ В2/В3 омогућен или не, можете користити горњу команду. Ако се активира, добићете „ПОВЕЗАНО“ у супротном „Неуспешно руковање“.
Проверите да ли је одређена шифра прихваћена на УРЛ-у
openssl s_client -cipher 'ECDHE-ECDSA-AES256-SHA' -connect secureurl:443
Ако радите на безбедносним налазима и резултати теста оловке показују да су неке од слабих шифри прихваћене, а затим их потврдите, можете користити горњу команду.
Наравно, мораћете да промените шифру и УРЛ, према којима желите да тестирате. Ако се поменута шифра прихвати, добићете „ПОВЕЗАНО“ у супротном „неуспешно руковање“.
Надам се да ће вам горње команде помоћи да сазнате више о ОпенССЛ-у за управљање ССЛ сертификатима за вашу веб локацију.