21 OpenSSL- ի օրինակներ, որոնք կօգնեն ձեզ իրական աշխարհում

Ստեղծեք, կառավարեք & Փոխարկեք SSL վկայագրերը OpenSSL- ով


SSL- ի ամենահանրաճանաչ հրամաններից մեկը ստեղծել, փոխարկել, կառավարել SSL վկայագրերը OpenSSL են.

Բազմաթիվ իրավիճակներ կլինեն, երբ դուք պետք է զբաղվեք OpenSSL- ի հետ տարբեր եղանակներով, և ես այստեղ դրանք թվարկել եմ ձեզ համար որպես հարմար խաբեբա թերթ.

Այս հոդվածում ես կխոսեմ հաճախակի օգտագործվող OpenSSL հրամանների մասին, որոնք կօգնեն ձեզ իրական կյանքում.

Վկայագրերի հետ կապված մի քանի կրճատում.

  • SSL – ապահով վարդակների շերտ
  • CSR – վկայականների ստորագրման հայց
  • TLS – տրանսպորտային շերտերի անվտանգություն
  • PEM – գաղտնիության ընդլայնված փոստ
  • DER – տարբերակագրման կոդավորման կանոններ
  • SHA – Secure Hash ալգորիթմ
  • PKCS – Գաղտնագրված հանրային բանալիների ստանդարտներ

Նշում: SSL / TLS գործունեության դասընթաց օգտակար կլիներ, եթե դուք ծանոթ չեք տերմիններին.

Ստեղծեք անձնական և բանալին հավաստագրերի ստորագրման նոր հարցում

opensl req -out geekflare.csr -newkey rsa: 2048-nodes -keyout geekflare.key

Վերևում հրամանը կստեղծի CSR և 2048 բիթանոց RSA ստեղնաշարի ֆայլ: Եթե ​​դուք մտադիր եք օգտագործել այս վկայագիրը Apache- ում կամ Nginx- ում, ապա անհրաժեշտ է ուղարկել այս CSR ֆայլը վկայականի թողարկողի լիազորությանը, և դրանք ձեզ կտան ստորագրված վկայագիր հիմնականում դեր կամ pem ձևաչափով, որը դուք պետք է կազմաձևեք Apache կամ Nginx վեբ սերվերում:.

Ստեղծեք ինքնորոշված ​​վկայագիր

opensl req -x509 -sha256- նոդեր – նոր rsa: 2048 – ամեն ինչ gf Selfsigned.key-out gfcert.pem

Վերը նշված հրամանը կստեղծի ինքնահաստատված վկայագիր և առանցքային ֆայլ ՝ 2048-բիթանոց RSA- ով: Ես ներառել եմ նաև sha256- ը, քանի որ այն ներկայումս համարվում է առավել անվտանգ.

Հուշում. ըստ լռելյայն, դա կստեղծի ինքնաստորագրված վկայագիր, որը գործում է ընդամենը մեկ ամսվա ընթացքում, այնպես որ դուք կարող եք հաշվի առնել վավերականության ժամկետները սահմանելու մասին:.

Ex: ինքնակառավարման տակ դնել երկու տարի ժամկետով.

opensl req -x509 -sha256- նոդեր – 730 օրեր – նոր rsa: 2048-ելակ gf Selfsigned.key-out gfcert.pem

Ստուգեք CSR ֆայլը

opensl req –noout -text –in geekflare.csr

Ստուգումը անհրաժեշտ է, որպեսզի ապահովեք ԿՍՊ-ն թողարկող մարմնին `պահանջվող մանրամասներով.

Ստեղծեք RSA- ի անձնական բանալին

opensl genrsa-out private.key 2048

Եթե ​​պարզապես անհրաժեշտ է ստեղծել RSA մասնավոր բանալին, ապա կարող եք օգտագործել վերը նշված հրամանը: Ես ներառել եմ 2048 թվականն `ավելի ուժեղ կոդագրման համար.

Հեռացրեք գաղտնաբառի բանալին բանալուց

opensl rsa -in certkey.key –out nopassphrase.key

Եթե ​​առանցքային ֆայլում օգտագործում եք բառակապակցություն և օգտագործում եք Apache, ապա ամեն անգամ սկսելուն պես պետք է մուտքագրեք գաղտնաբառը: Եթե ​​դուք վրդովված եք գաղտնաբառ մուտքագրելով, ապա կարող եք օգտագործել վերևում բացվածքներ rsa -in geekflare.key- ով – ստուգել ՝ գաղտնաբառի բանալին առկա բանալուց հանելու համար:.

Ստուգեք անձնական բանալին

բացում է rsa- ին certkey.key– ստուգեք

Եթե ​​կասկածում եք ձեր հիմնական ֆայլի վրա, ստուգելու համար կարող եք օգտագործել վերը նշված հրամանը.

Ստուգեք վկայագրերի ֆայլը

opensl x509-certifile.pem -text – ոչ

Եթե ​​ցանկանում եք վավերացնել վկայականի վկայական տվյալները, ինչպիսիք են CN, OU և այլն, ապա կարող եք օգտագործել վերը նշված հրամանը, որը կտա ձեզ վկայականի մանրամասներ.

Ստուգեք վկայականների ստորագրման մարմինը

opensl x509-in certfile.pem -noout -issuer -issuer_hash

Վկայագրերի թողարկողի մարմինը ստորագրում է յուրաքանչյուր վկայագիր, և անհրաժեշտության դեպքում, դրանք ստուգելու համար.

Ստուգեք վկայականի Hash արժեքը

opensl x509-նոութ-հեշ-ի bestflare.pem

Փոխարկել DER- ը PEM ձևաչափով

opensl x509 –inform der –in sslcert.der –out sslcert.pem

Սովորաբար, սերտիֆիկատի իրավասությունը ձեզ կտա SSL վկայագիր .der ձևաչափով, իսկ եթե դրանք օգտագործեք apache կամ .pem ձևաչափով, ապա վերը նշված հրամանը կօգնի ձեզ:.

Փոխարկեք PEM- ը DER ձևաչափին

opensl x509 –formform der –in sslcert.pem –out sslcert.der

Եթե ​​անհրաժեշտ է .pem ձևաչափը փոխել .der

Փոխարկեք վկայականն ու անձնական բանալին PKCS # 12 ձևաչափով

opensl pkcs12 –export –out sslcert.pfx –inkey key.pem –in sslcert.pem

Եթե ​​Ձեզ անհրաժեշտ է սերտիֆիկատ օգտագործել java հավելվածով կամ ցանկացած այլ անձի հետ, ով ընդունում է միայն PKCS # 12 ձևաչափը, կարող եք օգտագործել վերը նշված հրամանը, որը կստեղծի մեկ pfx պարունակող վկայագիր: & առանցքային ֆայլ.

Հուշում. Դուք կարող եք նաև ներառել շղթայի վկայագիր `անցնելով ստորև նշված ցանցը.

opensl pkcs12 –export –out sslcert.pfx –inkey key.pem –in sslcert.pem –chain cacert.pem

Ստեղծեք CSR ՝ օգտագործելով առկա անձնական բանալին

opensl req –out սերտիֆիկատ: csr– բանալին գոյություն ունի: բանալին ՝ նոր

Եթե ​​դուք չեք ցանկանում ստեղծել նոր մասնավոր բանալին, փոխարենը գոյություն ունեցող օգտագործելով, կարող եք գնալ վերը նշված հրամանի միջոցով.

Ստուգեք PKCS12 ձևաչափի սերտիֆիկատի պարունակությունը

pccs12 –ի– ինֆո – նոդ– –ի վկայականում

PKCS12- ը երկուական ձևաչափ է, այնպես որ դուք չեք կարողանա դիտել բովանդակությունը նոթբուքում կամ մեկ այլ խմբագրում: Վերոնշյալ հրամանը կօգնի ձեզ տեսնել PKCS12 ֆայլի բովանդակությունը.

Փոխարկեք PKCS12 ձևաչափը PEM վկայագրի

pccs12- ը ՝ cert.p12 –ի դեպքում, իսկ վկայականը

Եթե ​​ցանկանում եք օգտագործել առկա pkcs12 ձևաչափը Apache- ով կամ պարզապես pem ձևաչափով, դա օգտակար կլինի.

Հատուկ URL- ի SSL վկայագրի փորձարկում

opensl s_client- միացրեք yoururl.com:443- շոու-համերգներ

Ես սա օգտագործում եմ բավականին հաճախ `սերվերից որոշակի URL- ի SSL վկայագիրը վավերացնելու համար: Սա շատ հարմար է արձանագրի, ծածկագրերի և վկայագրի մանրամասները հաստատելու համար.

Պարզեք OpenSSL- ի տարբերակը

opensl տարբերակը

Եթե ​​դուք պատասխանատու եք OpenSSL- ի անվտանգությունն ապահովելու համար, ապա հավանաբար, առաջինը, ինչ դուք պետք է անեք, վարկածը հաստատելն է.

Ստուգեք PEM ֆայլի վկայագրի ավարտման ամսաթիվը

opensl x509 – նոյնիսկ վկայականում .pem -dates

Օգտակար է, եթե պատրաստվում եք որոշակի մոնիտորինգ տեղադրել վավերականությունը ստուգելու համար: Այն ձեզ ցույց կտա ամսաթիվ `ոչ նախորդ և ոչ հետո շարադրություններում: ոչ այն բանից հետո, երբ դուք պետք է հաստատեք ՝ հաստատելու, թե արդյոք վկայագիրը սպառված է կամ դեռ ուժի մեջ է.

Ex:

[[փոստով պաշտպանված է] opt] # opensl x509 -noout -in bestflare.pem –dates
ոչ նախքան= Հուլ 4 14:02:45 2015 GMT
ոչ հետո= 4 օգոստոսի 09:46:42 2015 GMT
[[փոստով պաշտպանված է] opt] #

Ստուգեք SSL URL- ի վկայականի ժամկետի ավարտը

opensl s_client- կապակցեք safeurl.com:443 2>/ dev / null | opensl x509 – առանց ելույթի – ամսաթիվ

Մեկ այլ օգտակար, եթե դուք պատրաստվում եք հեռակա կամ հատուկ URL- ի միջոցով դիտարկել SSL սերտիֆիկացման ժամկետը.

Ex:

[[փոստով պաշտպանված է] opt] # opensl s_client- կապակցել google.com:443 2>/ dev / null | opensl x509-չնախատեսված-օրացույց

ոչ հետո= Դեկտեմբերի 8 00:00:00 2015 GMT

Ստուգեք, թե արդյոք SSL V2 կամ V3 ընդունված է URL- ում

SSL V2- ը ստուգելու համար

opensl s_client- կապակցեք safeurl.com:443 -ssl2

SSL V3- ն ստուգելու համար

opensl s_client- կապեք safeurl.com:443 –ssl3

Ստուգել TLS 1.0

opensl s_client- կապակցեք safeurl.com:443 –tls1

Ստուգել TLS 1.1

opensl s_client- կապեք safeurl.com:443 –tls1_1

Ստուգել TLS 1.2

opensl s_client- կապեք safeurl.com:443 –tls1_2

Եթե ​​դուք ապահովում եք վեբ սերվերը և անհրաժեշտ է վավերացնել, եթե SSL V2 / V3- ն միացված է, թե ոչ, կարող եք օգտագործել վերը նշված հրամանը: Ակտիվացման դեպքում դուք կստանաք «Կապակցված«Ուրիշ»ձեռքսեղմման ձախողում

Ստուգեք, արդյոք տվյալ ծածկագրն ընդունված է URL- ում

opensl s_client -cipher ‘ECDHE-ECDSA-AES256-SHA’ – կապի ապահովիչ. 443

Եթե ​​աշխատում եք անվտանգության արդյունքների վրա և գրիչի թեստի արդյունքների ցույց տալ, որ թույլ կոդավորողներից որոշներն ընդունվում են, այնուհետև հաստատելու համար, կարող եք օգտագործել վերը նշված հրամանը.

Իհարկե, դուք ստիպված կլինեք փոխել ծածկագրերն ու URL- ն, որոնց դեմ ցանկանում եք փորձարկել: Եթե ​​նշված ծածկագրն ընդունվի, ապա կստանաք «Կապակցված«Ուրիշ»ձեռքսեղմման ձախողում

Հուսով եմ, որ վերևում գտնվող հրահանգները կօգնեն ձեզ ավելին իմանալ OpenSSL- ի կառավարման մասին SSL վկայագրեր ձեր կայքի համար.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map