21 OpenSSL მაგალითები დაგეხმაროთ რეალურ სამყაროში

შექმნა, მართვა & გადააკეთეთ SSL სერთიფიკატები OpenSSL– ით


SSL– ის ერთ – ერთი ყველაზე პოპულარული ბრძანება შექმნა, კონვერტირება, მართვა SSL სერთიფიკატები არის OpenSSL.

იქნება მრავალი სიტუაცია, როდესაც OpenSSL– სთან ურთიერთობა გაქვთ სხვადასხვა გზით, აქ კი ჩამოვთვალეთ ისინი თქვენთვის მოსახერხებელი მოტყუების ფურცლად.

ამ სტატიაში ვისაუბრებ OpenSSL ხშირად გამოყენებულ ბრძანებებზე, რომელიც დაგეხმარებათ რეალურ სამყაროში.

რამოდენიმე აბრევიატურა დაკავშირებულია სერთიფიკატებთან.

  • SSL – სოკეტის უსაფრთხო ფენა
  • CSR – სერთიფიკატის ხელმოწერის მოთხოვნა
  • TLS – ტრანსპორტის ფენის უსაფრთხოება
  • PEM – კონფიდენციალურობის გაუმჯობესებული ფოსტა
  • DER – გამორჩეული კოდირების წესები
  • SHA – უსაფრთხო ჰაშის ალგორითმი
  • PKCS – საზოგადოებრივი გასაღები კრიპტოგრაფიის სტანდარტები

Შენიშვნა: SSL / TLS ოპერაციის კურსი სასარგებლო იქნება, თუ ტერმინებს არ იცნობთ.

Contents

შექმენით პირადი შეტყობინების და სერთიფიკატების ხელმოწერის ახალი მოთხოვნა

opensl req -out geekflare.csr – ახალი rsa: 2048-კოდი

ბრძანების ზემოთ წარმოქმნის CSR და 2048 – ბიტიანი RSA საკვანძო ფაილს. თუ აპირებთ ამ სერთიფიკატის გამოყენებას Apache- ში ან Nginx– ში, მაშინ თქვენ უნდა გამოაგზავნოთ ეს CSR ფაილი გამცემი უფლებამოსილების სერთიფიკატზე, და ისინი მოგაწვდით ხელმოწერილ სერთიფიკატს ძირითადად der ან pem ფორმატით, რომლის კონფიგურაცია გჭირდებათ Apache ან Nginx ვებ სერვერზე..

შექმენით თვითმოქმედი სერთიფიკატი

opensl req -x509 -sha256 – კოდი: ახალი კოდი rsa: 2048

ბრძანების ზემოთ წარმოგიდგენთ თვითმოწერილი სერთიფიკატს და საკვანძო ფაილს 2048 ბიტიანი RSA- ით. მე ასევე შევიტანე sha256, რადგან ის ამჟამად ყველაზე უსაფრთხოდ ითვლება.

რჩევა: ნაგულისხმევი, ის წარმოშობს თვით ხელმოწერილ სერთიფიკატს, რომელიც ძალაშია მხოლოდ ერთი თვის განმავლობაში, ასე რომ თქვენ შეიძლება გაითვალისწინოთ განსაზღვრული დღეების პარამეტრი, რომ გაგრძელდეს.

ექს: ხელმოწერის ძალაში ორი წლის განმავლობაში.

opensl req -x509 -sha256 – კოდი– 730 დღე –ახალი rsa: 2048 ––––––––––––––––––––––––––//59/99

გადაამოწმეთ CSR ფაილი

opensl რეკი –არა – ტექსტი – geekflare.csr

გადამოწმება აუცილებელია იმისთვის, რომ უზრუნველყოთ CSR გაგზავნით უფლებამოსილ დეტალებზე.

შექმენით RSA პირადი გასაღები

opensl genrsa-private .key 2048

თუ თქვენ უბრალოდ უნდა შექმნათ RSA პირადი კლავიშის შექმნა, შეგიძლიათ გამოიყენოთ ზემოთ მოცემული ბრძანება. მე ჩავწერე 2048 წელს უფრო ძლიერი დაშიფვრისთვის.

წაშალეთ ფრაზის ფრაზა კლავიშიდან

opensl rsa –in certkey.key –– ს nopassphrase.key

თუ იყენებთ ფრაზის ფრაზას საკვანძო ფაილში და იყენებთ Apache– ს, მაშინ როდესაც დაიწყებთ, პაროლი უნდა შეიყვანოთ. თუ დაგავიწყდათ პაროლის შეყვანა, თქვენ შეგიძლიათ გამოიყენოთ opensl rsa –in geekflare.key– ის ჩასაწერად, რომ ამოიღოთ ფრაზის ფრაზა არსებული კლავიშიდან.

გადაამოწმეთ პირადი გასაღები

opensl rsa-in certkey.key –შეამოწმეთ

თუ თქვენს საკვანძო ფაილში ეჭვი გაქვთ, შეგიძლიათ შეამოწმოთ ზემოთ მოცემული ბრძანება.

გადაამოწმეთ სერთიფიკატის ფაილი

opensl x509 –––––––––––––––––––––––––––––––///5/3 – –– ––––

თუ გსურთ სერთიფიკატის მონაცემების დადასტურება, როგორიცაა CN, OU და ა.შ., მაშინ შეგიძლიათ გამოიყენოთ ზემოთ მოცემული ბრძანება, რომელიც მოგაწვდით სერთიფიკატის დეტალებს..

გადაამოწმეთ სერთიფიკატების ხელმომწერი ორგანო

opensl x509 –in certfile.pem –noout –issuer –issuer_hash

სერთიფიკატების გამცემი უფლებამოსილება ხელს აწერს ყველა სერთიფიკატს, ხოლო თუ საჭიროა მათი შემოწმება.

შეამოწმეთ სერთიფიკატის Hash ღირებულება

opensl x509-noout-hash-in bestflare.pem

გადააკეთეთ DER PEM ფორმატში

opensl x509 –inform der –in sslcert.der –s sllcert.pem

ჩვეულებრივ, სასერთიფიკატო უფლებამოსილება მოგცემთ SSL სერთიფიკატს .der ფორმატში, ხოლო თუ მათი გამოყენება გსურთ აპაშით ან .pem ფორმატით, მაშინ ზემოთ მოცემული ბრძანება დაგეხმარებათ..

გადააკეთეთ PEM DER ფორმატში

opensl x509 –formform der –in sslcert.pem –out sslcert.der

თუ საჭიროა .pem ფორმატის შეცვლა .der

გადააკეთეთ სერთიფიკატი და პირადი კლავიატურა PKCS # 12 ფორმატში

opensl pkcs12 – ექსპორტი – ყველა sslcert.pfx –inkey გასაღები.pem –s sllcert.pem

თუ გჭირდებათ სერტიფიკატის გამოყენება java პროგრამაში ან სხვა ნებისმიერ პირთან, ვინც მხოლოდ PKCS # 12 ფორმატს მიიღებს, შეგიძლიათ გამოიყენოთ ზემოთ მოცემული ბრძანება, რომელიც წარმოშობს ერთ pfx– ს შემცველ ცნობას. & საკვანძო ფაილი.

რჩევა: თქვენ ასევე შეგიძლიათ შეიტანოთ ჯაჭვის სერთიფიკატი, როგორც ქვემოთ მოცემულია ქსელი.

opensl pkcs12 –export –out sslcert.pfx –inkey კლავიში .pem –s sllcert.pem –chain cacert.pem

შექმენით CSR არსებული პირადი კლავიშის გამოყენებით

opensl req– სერთიფიკატი.csr– არსებითი.key– ახალი

თუ არ გსურთ შექმნათ ახალი პირადი კლავიატურა, არსებული გამოყენებით გამოიყენოთ, შეგიძლიათ წასვლა ზემოთ მოცემულ ბრძანებასთან.

გადაამოწმეთ PKCS12 ფორმატის სერტიფიკატის შინაარსი

pccs12 – info – nodes– სერტიფიკატში.p12

PKCS12 არის ორობითი ფორმატი, ასე რომ თქვენ ვერ შეძლებთ შინაარსის ნახვა ნოუთბაში ან სხვა რედაქტორში. ზემოთ მოყვანილი ბრძანება დაგეხმარებათ, რომ ნახოთ PKCS12 ფაილის შინაარსი.

გადააკეთეთ PKCS12 ფორმატის PEM სერტიფიკატი

pccs12 -ის გახსნა – cert.p12 – ში– სერტიფიკატი

თუ გსურთ გამოიყენოთ pkcs12 ფორმატის Apache ან უბრალოდ პემ ფორმატით, ეს სასარგებლო იქნება.

ტესტირება SSL სერთიფიკატის კონკრეტული URL

opensl s_client – დაკავშირება yoururl.com:443 – შოუ-კონცერტები

ამას ხშირად ვიყენებ სერვერის კონკრეტული URL- ის SSL სერთიფიკატის გამოსადასტურებლად. ეს ძალიან მოსახერხებელია პროტოკოლის, შიფრაციის და სერტიფიკატის დეტალების გადამოწმებისთვის.

შეიტყვეთ OpenSSL ვერსია

opensl ვერსია

თუ პასუხისმგებელი ხართ OpenSSL- ის უზრუნველსაყოფად, მაშინ ალბათ, პირველი რაც თქვენ გააკეთეთ, არის ვერსიის გადამოწმება.

შეამოწმეთ PEM ფაილის სერთიფიკატის ვადის გასვლის თარიღი

opensl x509 –არა ––– სერთიფიკატი.პემ –დღეს

გამოსადეგია, თუკი გეგმავთ გარკვეული მონიტორინგის ჩასატარებლად, რომ შეამოწმოთ სისწორე. ის გაჩვენებთ თარიღს არა წინა და არა სინტაქსის შემდეგ. ამის შემდეგ უნდა დაადასტუროთ, რომ დაადასტუროთ თუ სერთიფიკატი ამოიწურება ან ისევ ძალაშია.

ექს:

[[ელ.ფოსტა დაცულია] opt] # opensl x509-noout-in bestflare.pem –– თარიღი
ადრე= 4 ივლისი 14:02:45 2015 GMT
ამის შემდეგ= 4 აგვისტო 09:46:42 2015 GMT
[[ელ.ფოსტა დაცულია] აირჩიე] #

შეამოწმეთ სერთიფიკატის მოქმედების ვადის გასვლის თარიღი SSL URL

opensl s_client – დააკავშირე safeurl.com:443 2>/ dev / null | opensl x509 –არა ––– დღიდან

კიდევ ერთი სასარგებლო, თუ თქვენ გეგმავთ SSL სერტიფიკატის ვადის გასვლის დისტანციურად მონიტორინგს დისტანციურად ან კონკრეტულ URL- ზე.

ექს:

[[ელ.ფოსტა დაცულია] opt] # opensl s_client- დაკავშირება google.com:443 2>/ dev / null | opensl x509 –არაფერი –დედე

ამის შემდეგ= 8 დეკემბერი 00:00:00 2015 GMT

შეამოწმეთ SSL V2 ან V3 მიიღება URL- ზე

SSL V2- ის შესამოწმებლად

opensl s_client – დაკავშირება safeurl.com:443 -ssl2

SSL V3- ის შესამოწმებლად

opensl s_client – დაკავშირება safeurl.com:443 –ssl3

TLS 1.0 – ის შესამოწმებლად

opensl s_client – დაკავშირება safeurl.com:443 –tls1

TLS- ის შესამოწმებლად 1.1

opensl s_client – დაკავშირება safeurl.com:443 –tls1_1

TLS 1.2 შესამოწმებლად

opensl s_client – დაკავშირება safeurl.com:443 –tls1_2

თუ თქვენ უზრუნველყოფთ ვებ სერვერს და გჭირდებათ გადამოწმება, თუ SSL V2 / V3 ჩართულია თუ არა, შეგიძლიათ გამოიყენოთ ზემოთ მოცემული ბრძანება. თუ გააქტიურდება, მიიღებთ ”დაკავშირებულია”სხვა”ხელის შეშლის უკმარისობა.”

გადაამოწმეთ, არის თუ არა კონკრეტული შიფრირება URL- ზე

opensl s_client -cipher ‘ECDHE-ECDSA-AES256-SHA’ დამაკავშირებელი გარანტია: 443

თუ თქვენ უსაფრთხოების დასკვნებზე მუშაობთ და კალმის ტესტის შედეგებზე აჩვენებს, რომ ზოგიერთი სუსტი შიფრი მიიღება, მაშინ გადამოწმება, შეგიძლიათ გამოიყენოთ ზემოთ მოცემული ბრძანება.

რა თქმა უნდა, მოგიწევთ შიფრის და URL შეცვლა, რომლის საწინააღმდეგოდ გამოცდა გსურთ. თუ აღნიშნული შიფრი მიიღება, მაშინ მიიღებთ ”დაკავშირებულია”სხვა”ხელის შეშლის უკმარისობა.”

იმედი მაქვს, რომ ზემოთ მითითებული ბრძანებები დაგეხმარებათ გაეცანით უფრო მეტი OpenSSL- ს მართვის შესახებ SSL სერთიფიკატები თქვენი ვებსაიტისთვის.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map