In Sécurité Dernière mise à jour:
Partager sur:
Cloudways propose un hébergement cloud géré aux entreprises de toutes tailles pour héberger un site Web ou des applications Web complexes.

Créer, gérer et convertir des certificats SSL avec OpenSSL

L'une des commandes SSL les plus populaires pour engendrent, convertir, gérer le SSL Certificats est OpenSSL.

Il y aura de nombreuses situations dans lesquelles vous devrez gérer OpenSSL de différentes manières, et ici je les ai énumérées pour vous comme une aide-mémoire pratique.

Dans cet article, je parlerai des commandes OpenSSL fréquemment utilisées pour vous aider dans le monde réel.

Certaines des abréviations liées aux certificats.

  • SSL - couche de socket sécurisée
  • CSR - Demande de signature de certificat
  • TLS - Sécurité de la couche de transport
  • PEM - Messagerie améliorée de confidentialité
  • DER - Règles de codage distinguées
  • SHA - Algorithme de hachage sécurisé
  • PKCS - Normes de cryptographie à clé publique

Notes: Cours d'opération SSL / TLS serait utile si vous ne connaissez pas les termes.

Créer une nouvelle demande de clé privée et de signature de certificat

openssl req -out geekflare.csr -newkey rsa: 2048 -nodes -keyout geekflare.key

La commande ci-dessus générera un CSR et un fichier de clé RSA de 2048 bits. Si vous avez l'intention d'utiliser ce certificat dans Apache ou Nginx, vous devez envoyer ce fichier CSR à l'autorité émettrice de certificats, et ils vous donneront un certificat signé principalement en der or pem format que vous devez configurer dans Apache or Nginx serveur Web.

Créer un certificat auto-signé

openssl req -x509 -sha256 -nodes -newkey rsa: 2048 -keyout gfselfsigned.key -out gfcert.pem

La commande ci-dessus générera un certificat auto-signé et un fichier de clé avec RSA 2048 bits. J'ai aussi inclus sha256 car il est considéré comme le plus sûr pour le moment.

Conseil: par défaut, il générera un certificat auto-signé valide pendant un mois seulement. Vous pouvez donc envisager de définir le paramètre –days pour étendre la validité.

Ex: avoir l'auto-signature valable deux ans.

openssl req -x509 -sha256 -nodes -days 730 -newkey rsa: 2048 -keyout gfselfsigned.key -out gfcert.pem

Vérifier le fichier CSR

openssl req -noout -text -in geekflare.csr

La vérification est essentielle pour vous assurer que vous envoyez le CSR à l'autorité émettrice avec les détails requis.

Créer une clé privée RSA

openssl genrsa -out private.key 2048

Si vous avez juste besoin de générer une clé privée RSA, vous pouvez utiliser la commande ci-dessus. J'ai inclus 2048 pour un cryptage plus fort.

Supprimer la phrase secrète de la clé

openssl rsa -in certkey.key -out nopassphrase.key

Si vous utilisez une phrase de passe dans le fichier de clé et que vous utilisez Apache, chaque fois que vous démarrez, vous devez entrer le mot de passe. Si vous êtes ennuyé par la saisie d'un mot de passe, vous pouvez utiliser la commande openssl rsa -in geekflare.key -check ci-dessus pour supprimer la clé de phrase de passe d'une clé existante.

Vérifier la clé privée

openssl rsa -in certkey.key -check

Si vous doutez de votre fichier clé, vous pouvez utiliser la commande ci-dessus pour vérifier.

Vérifier le fichier de certificat

openssl x509 -in certfile.pem -text -noout

Si vous souhaitez valider des données de certificat telles que CN, OU, etc., vous pouvez utiliser une commande ci-dessus qui vous donnera les détails du certificat.

Vérifier l'autorité du signataire du certificat

openssl x509 -in certfile.pem -noout -issuer -issuer_hash

L'autorité émettrice de certificats signe chaque certificat et au cas où vous auriez besoin de les vérifier.

Vérifier la valeur de hachage d'un certificat

openssl x509 -noout -hash -in bestflare.pem

Convertir le format DER au format PEM

openssl x509 –inform der –dans sslcert.der –out sslcert.pem

Habituellement, l'autorité de certification vous donnera un certificat SSL au format .der, et si vous devez les utiliser au format apache ou .pem, la commande ci-dessus vous aidera.

Convertir PEM au format DER

openssl x509 –outform der –dans sslcert.pem –out sslcert.der

Au cas où vous auriez besoin de changer le format .pem en .der

Convertir le certificat et la clé privée au format PKCS#12

openssl pkcs12 –export –out sslcert.pfx –inkey key.pem –in sslcert.pem

Si vous devez utiliser un certificat avec l'application java ou avec tout autre qui n'accepte que le format PKCS # 12, vous pouvez utiliser la commande ci-dessus, qui générera un seul fichier pfx contenant un certificat et un fichier de clé.

Conseil: vous pouvez également inclure un certificat de chaîne en passant –chain comme ci-dessous.

openssl pkcs12 –export –out sslcert.pfx –inkey key.pem –in sslcert.pem -chain cacert.pem

Créer un CSR à l'aide d'une clé privée existante

openssl req –out certificate.csr –key existant.key –new

Si vous ne souhaitez pas créer une nouvelle clé privée au lieu d'utiliser une clé existante, vous pouvez utiliser la commande ci-dessus.

Vérifier le contenu du certificat au format PKCS12

openssl pkcs12 –info –nodes –dans cert.p12

PKCS12 est un format binaire, vous ne pourrez donc pas afficher le contenu dans le bloc-notes ou dans un autre éditeur. La commande ci-dessus vous aidera à voir le contenu du fichier PKCS12.

Convertir le format PKCS12 en certificat PEM

openssl pkcs12 –dans cert.p12 –out cert.pem

Si vous souhaitez utiliser le format pkcs12 existant avec Apache ou simplement au format pem, cela sera utile.

Tester le certificat SSL d'une URL particulière

openssl s_client -connect yoururl.com:443 -showcerts

J'utilise cela assez souvent pour valider le certificat SSL d'une URL particulière du serveur. C'est très pratique pour valider les détails du protocole, du chiffrement et du certificat.

Découvrez la version d'OpenSSL

version openssl

Si vous êtes responsable de la sécurité d'OpenSSL, l'une des premières choses à faire est probablement de vérifier la version.

Vérifier la date d'expiration du certificat du fichier PEM

openssl x509 -noout -in certificat.pem -dates

Utile si vous prévoyez de mettre en place une surveillance pour vérifier la validité. Il vous montrera une date dans la syntaxe notBefore et notAfter. notAfter est celui que vous devrez vérifier pour confirmer si un certificat est expiré ou toujours valide.

Ex:

[root@Chandan opt]# openssl x509 -noout -in bestflare.pem -dates
pas avant= 4 juillet 14:02:45 2015 GMT
pas après= 4 août 09:46:42 2015 GMT [root@Chandan opt]#

Vérifier la date d'expiration du certificat de l'URL SSL

openssl s_client -connect secureurl.com:443 2> / dev / null | openssl x509 -noout –enddate

Un autre outil utile si vous prévoyez de surveiller la date d'expiration du certificat SSL à distance ou une URL particulière.

Ex:

[root@Chandan opt]# openssl s_client -connect google.com:443 2>/dev/null | openssl x509 -noout -enddate

pas après= 8 décembre 00:00:00 2015 GMT

Vérifiez si SSL V2 ou V3 est accepté sur l'URL

Pour vérifier SSL V2

openssl s_client -connect secureurl.com:443 -ssl2

Pour vérifier SSL V3

openssl s_client -connect secureurl.com:443 -ssl3

Pour vérifier TLS 1.0

openssl s_client -connect secureurl.com:443 -tls1

Pour vérifier TLS 1.1

openssl s_client -connect secureurl.com:443 -tls1_1

Pour vérifier TLS 1.2

openssl s_client -connect secureurl.com:443 -tls1_2

Si vous êtes sécuriser un serveur web et devez valider si SSL V2 / V3 est activé ou non, vous pouvez utiliser la commande ci-dessus. Si activé, vous obtiendrez "CONNECTÉ" autre "échec de la poignée de main. »

Vérifiez si le chiffrement particulier est accepté sur l'URL

openssl s_client -cipher 'ECDHE-ECDSA-AES256-SHA' -connect secureurl: 443

Si vous travaillez sur des résultats de sécurité et que les résultats des tests de stylet montrent que certains des chiffrements faibles sont acceptés, pour valider, vous pouvez utiliser la commande ci-dessus.

Bien sûr, vous devrez changer le chiffrement et l'URL que vous souhaitez tester. Si le chiffrement mentionné est accepté, vous obtiendrez "CONNECTÉ" autre "échec de la poignée de main. »

J'espère que les commandes ci-dessus vous aideront à en savoir plus sur OpenSSL à gérer Les certificats SSL pour votre site web.

Partager sur:
  • Chandan Kumar
    Auteur
    Chandan Kumar est le fondateur de Geekflare. Il a aidé des millions de personnes à exceller dans le domaine numérique. Passionné de technologie, il a pour mission d'explorer le monde et d'amplifier la croissance des professionnels et des entreprises.

Merci à nos commanditaires

Plus de bonnes lectures sur la sécurité

Alimentez votre entreprise

Certains des outils et services pour aider votre entreprise à se développer.
  • L'outil de synthèse vocale qui utilise l'IA pour générer des voix humaines réalistes.

    Essayez Murf AI
  • Web scraping, proxy résidentiel, proxy manager, web unlocker, moteur de recherche et tout ce dont vous avez besoin pour collecter des données Web.

    Essayez Brightdata
  • Monday.com est un système d'exploitation de travail tout-en-un pour vous aider à gérer les projets, les tâches, le travail, les ventes, le CRM, les opérations, workflowset plus encore.

    Essayez Monday
  • Intruder est un scanner de vulnérabilités en ligne qui détecte les failles de cybersécurité de votre infrastructure, afin d'éviter des violations de données coûteuses.

    Essayez Intruder