Real dünyada sizə kömək etmək üçün 21 OpenSSL nümunələri

Yarat, İdarə et & OpenSSL ilə SSL sertifikatlarını çevirin


SSL-də ən populyar əmrlərdən biridir yaratmaq, çevirmək, idarə etmək SSL sertifikatları OpenSSL-dir.

OpenSSL ilə müxtəlif yollarla məşğul olmağınız lazım olan bir çox vəziyyət olacaq və burada bunları sizin üçün lazımlı bir fırıldaqçı vərəqəsi kimi qeyd etdim..

Bu yazıda, real dünyada sizə kömək etmək üçün tez-tez istifadə olunan OpenSSL əmrləri haqqında danışacağam.

Sertifikatlarla əlaqəli bəzi ixtisarlar.

  • SSL – Təhlükəsiz Socket Layer
  • CSR – Sertifikat imzalanması tələbi
  • TLS – Nəqliyyat Layer Təhlükəsizliyi
  • PEM – Məxfilik inkişaf etdirilmiş poçt
  • DER – Hörmətli kodlaşdırma qaydaları
  • SHA – Təhlükəsiz Hash Alqoritmi
  • PKCS – Açıq Açar Kriptoqrafiya Standartları

Qeyd: SSL / TLS əməliyyat kursu şərtlərlə tanış deyilsinizsə, faydalı olardı.

Yeni Şəxsi Açar və Sertifikat imzalanması tələbini yaradın

açırl req -out geekflare.csr -yenikey rsa: 2048 -node -keyout geekflare.key

Yuxarıda göstərilən komanda CSR və 2048 bit RSA əsas sənəd yaradacaqdır. Bu sertifikatı Apache və ya Nginx-də istifadə etmək niyyətindəsinizsə, onda bu CSR sənədini sertifikat verən orqana göndərməlisiniz və onlar sizə əsasən Apache və ya Nginx veb serverində konfiqurasiya etməli olduğunuz der və ya pem formatında imza sertifikatı verəcəkdir..

Özünə imza sertifikatı yaradın

açırl req -x509 -sha256 -node -yeni-yeni rsa: 2048 -keyout gfselfsigned.key -out gfcert.pem

Yuxarıdakı əmr, özünə imzalanmış bir sertifikat və 2048 bitlik RSA ilə əsas sənəd yaradacaqdır. Bu anda ən etibarlı hesab olunduğu üçün sha256-ı da daxil etdim.

İpucu: defolt olaraq, yalnız bir ay müddətində etibarlı imzalanmış sertifikat yaradacaq, buna görə etibarlılığı uzatmaq üçün günləri təyin etməyi düşünə bilərsiniz.

Məsələn: iki il müddətinə imzalanmış imzalamaq.

açırl req -x509 -sha256-günlər-günlər 730 -yeni rsa: 2048 -keyout gfselfsigned.key -out gfcert.pem

CSR sənədini doğrulayın

açırl req -noout-mətn -in geekflare.csr

Təsdiqləmə zəruri məlumatları təqdim edən KSM-ni emitent orqanına göndərməyinizi təmin etmək üçün vacibdir.

RSA Şəxsi Açar yaradın

açırl genrsa – Şəxsi.key 2048

Yalnız RSA xüsusi açarı yaratmaq lazımdırsa, yuxarıdakı əmrdən istifadə edə bilərsiniz. Daha güclü şifrələmə üçün 2048-i daxil etdim.

Açar sözlər Açardan çıxarın

açarl rsa -in certkey.key-nopassphrase.key

Açar sənəddə parol sözlərindən istifadə edirsinizsə və hər dəfə işə başlasanız, Apache istifadə edirsinizsə, şifrənizi daxil etməlisiniz. Bir şifrə daxil olmaqdan əsəbləşirsinizsə, yuxarıda açarlardan istifadə edə bilərsiniz rsa -in geekflare.key – mövcud paroldan açar söz açarını silmək üçün yoxlayın.

Şəxsi açarı doğrulayın

açarl rsa-sertifikat.key-yoxlayın

Açar sənədinizə şübhə edirsinizsə, yoxlamaq üçün yuxarıdakı əmrdən istifadə edə bilərsiniz.

Sertifikat sənədini doğrulayın

açarl x509 -də təsdiqlənən sənəd

CN, OU və s. Kimi sertifikat məlumatlarını doğrulamaq istəsəniz, sizə sertifikat məlumatlarını verəcək yuxarıdakı əmrdən istifadə edə bilərsiniz.

Sertifikat imzalayan qurumu doğrulayın

açarl x509 -də təsdiqlənən sənəd.pem -noout -issuer -issuer_hash

Sertifikat verən orqan hər bir sertifikata imza atır və əgər yoxlamaq lazımdırsa.

Bir sertifikatın hash dəyərini yoxlayın

açır x509 -yaxın -haş-ən yaxşıflare.pem

DER-ni PEM formatına çevirin

x509 açır – sslcert.der-də sslcert.pem

Adətən, sertifikat orqanı sizə SSL sertifikatı .der formatında verəcəkdir və onlardan apache və ya .pem formatında istifadə etməlisinizsə, yuxarıdakı komanda sizə kömək edəcəkdir.

PEM-i DER formatına çevirin

x509 açır – sslcert.pem – sslcert.der-də

.Pem formatını .der-ə dəyişdirmək lazımdırsa

Sertifikat və Şəxsi açarı PKCS # 12 formatına çevirin

açar pkcs12 – ixrac – sslcert.pfx – ski sslcert.pem

Java tətbiqi ilə və ya yalnız PKCS # 12 formatını qəbul edən hər kəs ilə bir sertifikat istifadə etməlisinizsə, sertifikatı olan vahid pfx yaradan yuxarıdakı əmrdən istifadə edə bilərsiniz. & açar faylı.

İpucu: aşağıdakı kimi zəncir ötürərək zəncirvari sertifikatı da daxil edə bilərsiniz.

açar pkcs12 – ixracat – sslcert.pfx – klik açar.pem – sslcert.pem -chain cacert.pem

Mövcud şəxsi açardan istifadə edərək KSM yaradın

açar req – sertifikat.csr –keykey.key – yeni

Mövcud birini istifadə etmək əvəzinə yeni bir açar yaratmaq istəmirsinizsə, yuxarıdakı əmrlə gedə bilərsiniz.

PKCS12 formatlı sertifikatın məzmununu yoxlayın

açar pkcs12 – info-düyünlər – cert.p12-də

PKCS12 ikili formatda olduğundan məzmunu notepadda və ya başqa bir redaktorda görə bilməyəcəksiniz. Yuxarıda göstərilən komanda PKCS12 faylının məzmununu görməyə kömək edəcəkdir.

PKCS12 formatını PEM sertifikatına çevirin

açar pkcs12 – cert.p12 – cert.pem

Mövcud pkcs12 formatını Apache ilə və ya sadəcə pem formatında istifadə etmək istəyirsinizsə, bu faydalı olacaqdır.

Xüsusi URL’in SSL sertifikatı

openssl s_client -nurl.com-a qoşulun.4:443 – şou

Serverdən müəyyən bir URL’in SSL sertifikatını təsdiqləmək üçün bunu çox istifadə edirəm. Protokolu, şifrəni və sertifikatlı məlumatları doğrulamaq çox əlverişlidir.

OpenSSL versiyasını öyrənin

versiyasını açır

OpenSSL-in etibarlı olmasına cavabdehsinizsə, ehtimal ki, etməli olduğunuz ilk işlərdən biri versiyanı yoxlamaqdır.

PEM Fayl Sertifikatının Müddəti Tarixini yoxlayın

açır x509 -yaxınlıq-sertifikat.pem-tarixlər

Düzgünlüyünü yoxlamaq üçün bəzi monitorinqlər etməyi planlaşdırırsınızsa faydalıdır. Tarixi əvvəldən və sonradan sintaksisdə göstərəcəkdir. notAradan sonra bir sertifikatın müddəti və ya hələ etibarlı olduğunu təsdiqləmək üçün yoxlamalı olacaqsınız.

Məsələn:

[[e-poçt qorunur] opt] # açırl x509 -yaxşı-yaxşıflare.pem-günlər
yox əvvəl= 4 İyul 14:02:45 2015 GMT
yox= 4 Avqust 09:46:42 2015 GMT
[[e-poçt qorunur] opt] #

SSL URL-in Sertifikat Vaxtı Tarixini yoxlayın

openssl s_client – qoşulmaq təhlükəsizurl.com:443 2>/ dev / null | x509 açır – gecikmə – son

SSL sertifikatının son istifadə tarixini uzaqdan və ya müəyyən bir URL-dən izləməyi planlaşdırırsınızsa, başqa bir faydalıdır.

Məsələn:

[[e-poçt qorunur] opt] # açılır s_client – əlaqə google.com:443 2>/ dev / null | xs509 -yönümlü-açır

yox= Dekabr 8 00:00:00 2015 GMT

URL-də SSL V2 və ya V3 qəbul edildiyini yoxlayın

SSL V2 yoxlamaq üçün

açır s_client – qoşul təhlükəsizliyə.com:443 -ssl2

SSL V3 yoxlamaq üçün

açır s_client – qoşul təhlükəsizliyə.com:443 –ssl3

TLS yoxlamaq üçün 1.0

açırl s_client – qoşul təhlükəsizliyə.com:443 –tls1

TLS yoxlamaq üçün 1.1

açar s_client – qoşul təhlükəsizliyə.com:443 –tls1_1

TLS 1.2 yoxlamaq üçün

açar s_client – qoşul təhlükəsizliyə.com:443 –tls1_2

Veb serveri təmin edirsinizsə və SSL V2 / V3 effektiv olub olmadığını təsdiqləmək lazımdırsa, yuxarıdakı əmrdən istifadə edə bilərsiniz. Aktivləşdirsəniz “ƏLAQƏDAR“Başqa”əl sıxma.”

URL-də xüsusi şifrənin qəbul edildiyini yoxlayın

açar s_client-şifrə ‘ECDHE-ECDSA-AES256-SHA’ -qoşulma təhlükəsizliyi: 443

Təhlükəsizlik kəşfləri üzərində işləyirsinizsə və qələm testinin nəticələri zəif şifrələrin bəzilərinin təsdiqlənmək üçün qəbul edildiyini göstərirsə, yuxarıdakı əmrdən istifadə edə bilərsiniz.

Əlbətdə, sınamaq istədiyiniz şifrəni və URL-i dəyişdirməlisiniz. Göstərilən şifrə qəbul edilərsə, “ƏLAQƏDAR“Başqa”əl sıxma.”

Ümid edirəm yuxarıdakı əmrlər idarə etmək üçün OpenSSL haqqında daha çox məlumat əldə etməyə kömək edəcəkdir SSL sertifikatları veb saytınız üçün.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map