Užitečné a často používané příkazy OpenSSL
2021-11-14
Základy
Změna hesla klíče
openssl rsa -des3 -in server.key -out server.key.new
Převod klíče na verzi bez hesla:
openssl rsa -in serverkey.key -out server.key.unsecure
Vypsání certifikátu:
openssl x509 -in servercert.pem -text
Ověření, že klíč a certifikát patří k sobě
Vypsat modulus certifikátu a privátního klíče
openssl x509 -noout -modulus < cert.pem
openssl rsa -noout -modulus < key.pem
a porovnat
Vypsání certifikátu na službě na serveru:
openssl s_client -connect host.host:9999
Formáty
OpenSSL pracuje defaultne ve formatu PEM (= Base64 encoded DER)
Konverze z PEM do DER:
openssl x509 -in servercert.pem -out servercert.der -outform DER
Formát PKCS#10
OpenSSL standardně generuje žádosti o podepsání certifikátu
v tomto formátu (příkaz openssl req -new ...)
Extrakce jednotlivých částí z .p12
- certifikátu
openssl pkcs12 -in user.p12 -nokeys -clcerts -out usercrt.pem - certifikátů CA (jsou-li přibalené):
openssl pkcs12 -in user.pfx -nokeys -cacerts -out cacrt.pem - klíče:
openssl pkcs12 -in user.pfx -nocerts -nodes -out userkey.pem
Zabalení certifikátu do .p12:
Zabalení klíče a certifikátu:
openssl pkcs12 -export -in servercert.der -inkey serverkey.pem -out cert.p12
Zabalení klíče, certifikátu a seznamu mezilehlých certifikačních autorit:
openssl pkcs12 -export -in servercert.der -inkey serverkey.pem -out cert.p12 -certfile CACert.cer
Seznam (pro TCS serverové certifikáty) můžete stáhnout přímo zde: https://pki.cesnet.cz/_media/certs/chain_geant_ov_rsa_ca_4_full.pem (odkaz vede na stránku https://pki.cesnet.cz/cs/ch-tcs-ssl-ca-4-crt-crl.html).