Openssl

De whats Wiki

Contingut 1 INTRODUCCIÓ 2 COMANDES 2.1 Crear fitxer ssl.srl 2.2 CREAR UNA UNITAT CERTIFICADORA 2.3 CREAR UN CERTIFICAT 2.4 Extreure la clau publica a partir d'un certificat 2.5 Mirar el contingut d'un certificat 2.6 Comprovar si un certificat és valid 2.7 TREBALLAR AMB UNA CONEXIÓ SSL COM SI FOS NORMAL A QUALSEVOL PORT QUE USI SSL 2.8 PER ENCRIPTAR UN FITXER 2.9 PER DESENCRIPTARLO 2.10 FUNCIONS DE HASH 2.11 EXPORTAR ELS CERTIFICATS EN FORMAT PKCS12 2.12 REVOCAR EL CERTIFICAT

INTRODUCCIÓ

"NOTA: l'extenció .csr i .pem, simbolitzen el mateix, un certificat no firmat."

COMANDES

Crear fitxer ssl.srl

echo 00 > /etc/ssl/ssl.srl

CREAR UNA UNITAT CERTIFICADORA

Per crear una peticio de certificat per a una unitat certificadora (CA)

openssl req -new -extensions v3_ca -keyout ssl.key/ca.key -out ssl.csr/ca.req

Per crear el certificat a partir de la petició pendent (autofirmar-lo)

openssl req -new -x509 –in ssl.csr/ca.key -out ssl.crt/ca.crt -days 3650 -key ssl.key/ca.key -CAcreateserial

CREAR UN CERTIFICAT

Per crear una petició de certificat

openssl req -new -keyout ssl.key/cert.key -out ssl.csr/cert.pem
o tb
openssl req -new -extensions v3_req -keyout ssl.key/cert.key -out ssl.csr/cert.req

Per treure el password de la clau privada

openssl rsa -in ssl.key/cert.key -out ssl.key/cert.key2

Per auto signar el certificat

openssl x509 -req -in ssl.csr/cert.pem -out ssl.crt/cert.crt -days 3650 -signkey ssl.key/cert2key.pem 

Per signar el certificat amb una unitat certificadora

openssl x509 -req -in ssl.csr/cert.req -out ssl.crt/cert.crt -days 3650 -CA ssl.crt/ca.crt -CAkey ssl.key/ca.key -CAcreateserial

Extreure la clau publica a partir d'un certificat

openssl x509 -inform pem -in certificate.pem -pubkey -noout > publickey.pem

Mirar el contingut d'un certificat

openssl asn1parse -i -dump -in cacert-req.pem > cacert-req.txt

Comprovar si un certificat és valid

openssl verify -CAfile ca-ldap.crt -purpose sslclient ../cert-dadesbadalona01.crt

TREBALLAR AMB UNA CONEXIÓ SSL COM SI FOS NORMAL A QUALSEVOL PORT QUE USI SSL

openssl s_client -showcerts -connect mail.wekk.net:443

PER ENCRIPTAR UN FITXER

cat /etc/passwd | openssl des3 -salt -k secretpassword > fitxer.des3
openssl des3 -salt -in file.txt -out file.des3

PER DESENCRIPTARLO

cat fitxer.des3 | openssl des3 -d -k secretpassword > passwd
openssl des3 -d -salt -in file.des3 -out file.txt

FUNCIONS DE HASH

openssl dgst -sha1 -c file
openssl dgst -ripemd160 -c  file

EXPORTAR ELS CERTIFICATS EN FORMAT PKCS12

openssl pkcs12 -export -in name-cert.pem -inkey private/name-key.pem -certfile cacert.pem -name "[friendly name]" -out name-cert.p12

REVOCAR EL CERTIFICAT

Revocar certificat

openssl ca -revoke ssl.crt/certificatrevocat.crt -keyfile ssl.key/ca.key -cert ssl.crt/ca.crt

Actualitzar llista de certificats revocats

openssl ca -gencrl -out /etc/ssl/ssl.crl/crl.pem