OpenSSL - nuttige commando's
Categorie: Alles over SSL certificaten | SSL configuratie
Hoe OpenSSL gebruiken?
OpenSSL
is het Zwitsers zakmes van het certificaatmanagement, maar zoals bij
elk goed zwitsers zakmes spendeer je overmatig veel tijd om de
uitklapbare vuurboog van het nagelvijltje te onderscheiden. Hieronder
een opsomming van meest voorkomende commando's.
Certificaataanvragen en keys genereren
Wie een nieuw SSL certificaat besteld moet een "CSR Request" of "certificaat aanvraag" aanmaken.
Een nieuwe certificaataanvraag genereren met een nieuwe private key doe je als volgt:
openssl req -sha256 -nodes -newkey rsa:2048 -keyout www.server.com.key -out www.server.com.csr
Alternatief kan u hiervoor de Kinamo CSR Generator gebruiken.
Een nieuwe certificaataanvraag genereren met een bestaande private key:
openssl req -new -sha256 -key www.server.com.key -out www.server.com.csr
Als u het certificaat ter beschikking heeft, en de private key, maar de aanvraag niet meer hebt, kan u een certificaataanvraag genereren of CSR genereren op basis van een bestaand certificaat:
openssl x509 -x509toreq -in www.server.com.crt -out www.server.com.csr -signkey www.server.com.key
Een nieuwe RSA key genereren:
openssl genrsa -out www.server.com.key 2048
Een nieuwe ECC key genereren:
openssl ecparam -out server.key -name prime256v1 -genkey
Een zelf-ondertekend (self-signed) certificaat aanmaken voor testdoeleinden:
openssl req -x509 -newkey rsa:2048 -nodes -keyout www.server.com.key -out www.server.com.crt -days 365
Certificaten bekijken en controleren
Een certificaataanvraag controleren en bekijken:
openssl req -noout -text -verify -in www.server.com.csr
Een private key controleren en bekijken:
openssl rsa -noout -text -check -in www.server.com.key
Een certificaat bekijken:
openssl x509 -noout -text -in www.server.com.crt
Een certificaat in PKCS#7 formaat bekijken:
openssl pkcs7 -print_certs -in www.server.com.p7b
Een certificaat en sleutel in PKCS#12 formaat bekijken:
openssl pkcs12 -info -in www.server.com.pfx
Een SSL connectie controleren en alle certificaten in de chain bekijken:
openssl s_client -connect www.server.com:443Controleren of een certificaat, een certificaataanvraag en een private key dezelfde publieke key hebben:
openssl x509 -noout -modulus -in www.server.com.crt | openssl sha256 openssl req -noout -modulus -in www.server.com.csr | openssl sha256 openssl rsa -noout -modulus -in www.server.com.key | openssl sha256
Converteren van certificaten
Conversie van PKCS#12 ( .pfx .p12 - typisch in gebruik op Microsoft Windows) bestand met private key en certificaten naar PEM (meestal gebruikt op Linux):
openssl pkcs12 -nodes -in www.server.com.pfx -out www.server.com.crt
Conversie van PEM naar PKCS#12:
openssl pkcs12 -export -in www.server.com.crt -inkey www.server.com.key -out www.server.com.pfx
Conversie van PKCS#7 formaat ( .p7b .p7c ) naar PEM:
openssl pkcs7 -print_certs -in www.server.com.p7b -out www.server.com.crt
Conversie van PEM formaat naar PKCS#7:
openssl crl2pkcs7 -nocrl -certfile www.server.com.crt -out www.server.com.p7b
Conversie van DER (.crt .cer of .der) naar PEM:
openssl x509 -inform der -in certificate.cer -out certificate.pem
