Одним з найбільш універсальних інструментів SSL є OpenSSL. Існують різні версії OpenSSL для майже кожної платформи, включаючи Windows, Linux і Mac OS X. OpenSSL зазвичай використовується для створення CSR та закритого ключа для різних платформ, включаючи Apache. Однак, він також має сотні інших функцій, які дозволяють переглядати детальну інформацію про CSR або сертифікаті, порівнювати MD5 хеш сертифіката та закритого ключа (щоб переконатися, що вони збігаються), підтверджувати, правильність установки сертифіката на будь-який веб-сайт, і конвертувати сертифікат в інший формат.
Нижче наведено кілька типових команди OpenSSL і варіанти їх використання:
Основні команди:
Ці команди дозволяють створити CSR запити, сертифікати, приватні ключі, а так само виконувати інші завдання.
Створення нового приватного ключа і CSR запиту:
openssl req -out CSR.csr -new -newkey rsa: 2048 -nodes -keyout privateKey.key
Створення самоподпісаного сертифіката:
openssl req -x509 -nodes -days 365 -newkey rsa: 2048 -keyout privateKey.key -out certificate.crt
Створення CSR запиту для існуючого приватного ключа:
openssl req -out CSR.csr -key privateKey.key -new
Створення нового CSR запиту на основі існуючого сертифіката:
openssl x509 -x509toreq -in certificate.crt -out CSR.csr -signkey privateKey.key
Видалення секретної фрази-пароля з приватного ключа:
openssl rsa -in privateKey.pem -out newPrivateKey.pem
Використання OpenSSL для перевірки:
Якщо вам необхідно перевірити інформацію про сертифікат, CSR або закритому ключі, використовуйте ці команди:
Перевірка CSR запиту:
openssl req -text -noout -verify -in CSR.csr
Перевірка приватного ключа:
openssl rsa -in privateKey.key -check
openssl x509 -in certificate.crt -text -noout
Перевірка файлу PKCS # 12 (.pfx або .p12):
openssl pkcs12 -info -in keyStore.p12
Використання OpenSSL для виправлення помилок:
Якщо ви отримуєте повідомлення про помилку, що приватний ключ не відповідає сертифікату або встановлений сертифікат не є довіреною, спробуйте використовувати одну з цих команд:
ПроверкаMD5 хешу відкритого ключа для перевірки відповідності з CSR і приватним ключем:
openssl x509 -noout -modulus -in certificate.crt | openssl md5
openssl rsa -noout -modulus -in privateKey.key | openssl md5
openssl req -noout -modulus -in CSR.csr | openssl md5
Перевірка SSL з'єднання:
openssl s_client -connect www.paypal.com:443
Використання OpenSSL для конвертації:
Ці команди дозволяють перетворити сертифікати і ключі в різні формати. щоб зробити їх сумісними з конкретними типами серверів або програмного забезпечення. Наприклад, ви можете конвертувати звичайний файл PEM. який буде працювати з Apache. в формат PFX (PKCS # 12) для використання його з Tomcat або IIS.
openssl x509 -inform der -in certificate.cer -out certificate.pem
Конвертація файлу PEM в DER:
openssl x509 -outform der -in certificate.pem -out certificate.der
Конвертація файлаPKCS # 12, який містить приватний ключ і сертифікат в PEM:
openssl pkcs12 -in keyStore.pfx -out keyStore.pem -nodes
openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt