21 Mga Halimbawa ng OpenSSL na Tulungan Ka sa Real-World

Lumikha, Pamahalaan & I-convert ang SSL Sertipiko sa OpenSSL


Isa sa mga pinakatanyag na utos sa SSL na to lumikha, magbalik-loob, pamahalaan ang SSL Sertipiko ay OpenSSL.

Maraming mga sitwasyon kung saan kailangan mong harapin ang OpenSSL sa iba’t ibang paraan, at narito ko na nakalista ang mga ito para sa iyo bilang isang madaling gamiting cheat sheet.

Sa artikulong ito, tatalakayin ko ang tungkol sa madalas na ginagamit na mga utos ng OpenSSL upang matulungan ka sa totoong mundo.

Ang ilan sa mga pagdadaglat na nauugnay sa mga sertipiko.

  • SSL – Secure Socket Layer
  • CSR – Kahilingan sa Pag-sign ng Sertipiko
  • TLS – Security Layer Security
  • PEM – Pagpapahusay ng Mail sa Pagkapribado
  • DER – Natatanging Mga Panuntunan sa Pag-encode
  • SHA – Secure Hash Algorithm
  • PKCS – Pamantayan sa Pamantayang Cryptography ng Public-Key

Tandaan: Kursong operasyon ng SSL / TLS magiging kapaki-pakinabang kung hindi ka pamilyar sa mga term.

Lumikha ng bagong Pribadong Key Key at Sertipiko sa Pag-sign-Certificate

opensl req -out geekflare.csr -newkey rsa: 2048 -node -keyout geekflare.key

Sa itaas na utos ay bubuo ng CSR at 2048-bit RSA key file. Kung balak mong gamitin ang sertipiko na ito sa Apache o Nginx, kailangan mong ipadala ang file na CSR na ito sa sertipikasyon ng nagpapatala ng sertipiko, at bibigyan ka nila ng naka-sign na sertipiko sa pangkalahatan sa der o pem format na kailangan mong i-configure sa Apache o Nginx web server.

Lumikha ng isang Sertipiko sa Sariling Nakaresulta

opensl req -x509 -sha256 -nodes -newkey rsa: 2048 -keyout gfselfsigned.key -out gfcert.pem

Sa itaas na utos ay bubuo ng isang naka-sign na sertipiko at key file na may 2048-bit RSA. Kasama ko rin ang sha256 dahil itinuturing itong ligtas sa ngayon.

Tip: sa default, bubuo ito ng sertipiko na nilagdaan ng sarili na wasto para sa isang buwan lamang upang maaari mong isaalang-alang ang pagtukoy sa mga parameter ng araw-araw upang mapalawak ang bisa.

Hal: na magkaroon ng wastong naka-sign valid para sa dalawang taon.

opensl req -x509 -sha256 -node -day 730 -newkey rsa: 2048 -keyout gfselfsigned.key -out gfcert.pem

Patunayan ang CSR file

opensl req -noout -text -in geekflare.csr

Mahalaga ang pag-verify upang matiyak na nagpapadala ka ng CSR sa awtoridad ng nagbigay ng mga kinakailangang detalye.

Lumikha ng RSA Pribadong Key

opensl genrsa -out pribado.key 2048

Kung kailangan mo lang makabuo ng pribadong key ng RSA, maaari mong gamitin ang utos sa itaas. Nagsama ako ng 2048 para sa mas malakas na pag-encrypt.

Alisin ang Passphrase mula sa Key

opensl rsa -in sertkey.key -out nopassphrase.key

Kung gumagamit ka ng passphrase sa key file at gamit ang Apache pagkatapos mong magsimula, kailangan mong ipasok ang password. Kung naiinis ka sa pagpasok ng isang password, maaari mong gamitin sa itaas ang opensl rsa -in geekflare.key -check upang maalis ang passphrase key mula sa isang umiiral na key.

Patunayan ang Pribadong Key

opensl rsa -in certkey.key –check

Kung nag-aalinlangan ka sa iyong key file, maaari mong gamitin ang utos sa itaas upang suriin.

Patunayan ang File File

opensl x509 -sa certfile.pem -text –noout

Kung nais mong patunayan ang data ng sertipiko tulad ng CN, OU, atbp pagkatapos ay maaari mong gamitin ang isang utos sa itaas na magbibigay sa iyo ng mga detalye sa sertipiko.

Patunayan ang Awtoridad ng Signer ng Sertipiko

opensl x509 -sa certfile.pem -noout -issuer -issuer_hash

Ang karapatang nagbigay ng sertipiko ay pirma sa bawat sertipiko at kung sakaling kailangan mong suriin ang mga ito.

Suriin ang Halaga ng Hash ng Isang Sertipiko

opensl x509 -noout -hash -in bestflare.pem

I-convert ang format ng DER sa PEM

opensl x509 -inform der –in sslcert.der -out sslcert.pem

Karaniwan, bibigyan ka ng awtoridad ng sertipiko ng SSL cert sa format .der, at kung kailangan mong gamitin ang mga ito sa apache o .pem format pagkatapos ay ang utos sa itaas ay makakatulong sa iyo.

I-convert ang PEM sa format na DER

opensl x509 -outform der –in sslcert.pem -out sslcert.der

Kung sakaling kailangan mong magbago .pem format sa .der

I-convert ang Sertipiko at Pribadong Key sa format na PKCS # 12

opensl pkcs12 -export -out sslcert.pfx -inkey key.pem -in sslcert.pem

Kung kailangan mong gumamit ng isang sertipiko sa aplikasyon ng java o sa anumang iba pang tumatanggap lamang na format ng PKCS # 12, maaari mong gamitin ang utos sa itaas, na bubuo ng solong pfx na naglalaman ng sertipiko & key file.

Tip: maaari mo ring isama ang sertipiko ng chain sa pamamagitan ng pagpasa -chain tulad ng sa ibaba.

opensl pkcs12 -export -out sslcert.pfx -inkey key.pem -in sslcert.pem -chain cacert.pem

Lumikha ng CSR gamit ang isang umiiral na pribadong key

opensl req -out sertipiko.csr -key umiiral na.key –Magkilala

Kung hindi mo nais na lumikha ng isang bagong pribadong key sa halip na gumamit ng isang umiiral na, maaari kang sumabay sa utos sa itaas.

Suriin ang mga nilalaman ng PKCS12 format ng sert

opensl pkcs12 –info –node –in sertip.p12

Ang PKCS12 ay binary format kaya hindi mo magagawang tingnan ang nilalaman sa notepad o ibang editor. Ang utos sa itaas ay makakatulong sa iyo upang makita ang mga nilalaman ng file ng PKCS12.

I-convert ang format ng PKCS12 sa sertipiko ng PEM

opensl pkcs12 –sa cert.p12 -out sertipemem

Kung nais mong gumamit ng umiiral na pkcs12 na format na may Apache o sa format lamang ng pem, magiging kapaki-pakinabang ito.

Subukan ang SSL sertipiko ng partikular na URL

opensl s_client -connect yoururl.com:443 -showcerts

Madalas kong ginagamit ito upang mapatunayan ang sertipiko ng SSL ng partikular na URL mula sa server. Ito ay madaling gamitin upang mapatunayan ang protocol, cipher, at mga detalye sa sert.

Alamin ang bersyon ng OpenSSL

bersyon ng opensl

Kung ikaw ay may pananagutan sa pagtiyak na ang OpenSSL ay ligtas pagkatapos marahil ang isa sa mga unang bagay na kailangan mong gawin ay upang mapatunayan ang bersyon.

Suriin ang Petsa ng Pag-expire ng sertipiko ng PEM File

opensl x509 -noout -in certificate.pem -dates

Kapaki-pakinabang kung nagpaplano kang maglagay ng ilang pagsubaybay upang suriin ang bisa. Ito ay magpapakita sa iyo ng petsa sa notBefore at notAfter syntax. notAfter ay isa kailangan mong patunayan upang kumpirmahin kung ang isang sertipiko ay nag-expire o may bisa pa rin.

Hal:

[[protektado ng email] opt] # opensl x509 -noout -in bestflare.pem -dates
hindiNauna= Jul 4 14:02:45 2015 GMT
hindi Pagkatapos= Aug 4 09:46:42 2015 GMT
[[protektado ng email] opt] #

Suriin ang Petsa ng Pag-expire ng Sertipiko ng SSL URL

opensl s_client -connect secureurl.com:443 2>/ dev / null | opensl x509 -noout –enddate

Ang isa pang kapaki-pakinabang kung pinaplano mong subaybayan ang petsa ng pag-expire ng SSL ng sertipikasyon ng malayo o partikular na URL.

Hal:

[[protektado ng email] opt] # opensl s_client -connect google.com:443 2>/ dev / null | opensl x509 -noout -enddate

hindi Pagkatapos= Dis 8 00:00:00 2015 GMT

Suriin kung ang SSL V2 o V3 ay tinanggap sa URL

Upang suriin ang SSL V2

opensl s_client -connect secureurl.com:443 -ssl2

Upang Suriin ang SSL V3

opensl s_client -connect secureurl.com:443 –ssl3

Upang Suriin ang TLS 1.0

opensl s_client -connect secureurl.com:443 -tls1

Upang Suriin ang TLS 1.1

opensl s_client -connect secureurl.com:443 -tls1_1

Upang Suriin ang TLS 1.2

opensl s_client -connect secureurl.com:443 -tls1_2

Kung nakakasiguro ka sa web server at kailangang mapatunayan kung ang SSL V2 / V3 ay pinagana o hindi, maaari mong gamitin ang utos sa itaas. Kung isinaaktibo, makakakuha ka ng “KONKOLIDAD“Pa”pagkabigo sa kamay.”

Patunayan kung ang partikular na cipher ay tinatanggap sa URL

opensl s_client -cipher ‘ECDHE-ECDSA-AES256-SHA’ -connect secureurl: 443

Kung nagtatrabaho ka sa mga natuklasan sa seguridad at mga resulta ng pagsubok sa panulat ay nagpapakita ng ilang mga mahina na ciphers na tinatanggap pagkatapos upang mapatunayan, maaari mong gamitin ang utos sa itaas.

Siyempre, kailangan mong baguhin ang cipher at URL, na nais mong subukan laban. Kung tatanggapin ang nabanggit na cipher, makakakuha ka ng “KONKOLIDAD“Pa”pagkabigo sa kamay.”

Inaasahan ko na ang mga utos sa itaas ay makakatulong sa iyo na malaman ang higit pa tungkol sa OpenSSL upang pamahalaan Mga sertipiko ng SSL para sa iyong website.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map