Basics openssl ssl bizonyítványok, privát kulcsokat, és kéri, hogy írja alá
Miután szerver biztonságos adatközpontok Európában. Nyílt felhő VPS / VDS szerver egy gyors SSD 1 perc alatt!
A legjobb Web Hosting:
- megvédi az illetéktelen hozzáférés egy biztonságos európai adatközpont
- fizet legalább Bitcoin.
- Akkor tegye meg a disztribúciós
- védelmet DDOS támadások
- ingyenes biztonsági mentés
- Üzemidő 99,9999%
- DPC - TIER III
- ISP - TIER I
Támogatás az orosz 24/7/365 dolgozni a jogi és fizikai személyek. Most kell 24 mag és 72 Gb RAM. Kérlek!
A versenyképes áron bizonyítani, hogy a legolcsóbb hosting, ha nem tudja!
A percek alatt, válassza ki a konfiguráció, a fizetés és a CMS egy VPS kész.
Pénzvisszafizetési - 30 nap alatt!
Bankkártyák, elektronikus valuta révén Qiwi terminálok, WebMoney, PayPal, Novoplat és mások.
Tegye fel kérdését támogatás 24/7/365
Megtalálja a választ az adatbázisunkban, és megfelel az ajánlásokat a
OpenSSL - egy sokoldalú parancssori eszköz kezelésére nyilvános kulcsú infrastruktúra (PKI) és HTTPS.
Ez az útmutató áttekintést nyújt az OpenSSL parancsok, valamint példák használata és generációs magánkulcsokhoz tanúsítvány aláírási kérés és formátumának módosításához a tanúsítványt.
Tanúsítvány aláírási kérelem (CSR)
Ahhoz, hogy az SSL-tanúsítványt a hitelesítésszolgáltató (CA), először létre kell hozni egy tanúsítvány-aláírási kérelem (CSR). CSR magában foglalja a nyilvános kulcsot, és néhány további adatot. Amikor regisztrálsz ezeket az adatokat adunk a tanúsítványt.
A tanúsítványok aláírására irányuló kérés, meg kell, hogy adjon tájékoztatást a tanúsítványt. Különösen fontos, hogy töltse ki a Common Name (CN) a Distinguised Név részén, amelyben meg kell adni a fogadó FQDN, amelyre a tanúsítványt szánják. Ahhoz, hogy megkerülje az interaktív prompt, akkor az összes adat átvitelére kért a parancssorban.
Más területeken Distinguised Név részén információt kérjen a szervezet vagy a vállalat. Ha Ön egy tanúsítvány a CA, ezeken a területeken általában ki kell tölteni.
Tanúsítvány aláírási kérés a következő:
---
Ország neve (2 kétbetűs kód) [AU]: US
Állam vagy tartomány neve (teljes név) [Egyes állami]: New York
Hely neve (pl város) []: Brooklyn
Szervezet neve (pl cég) [Internet Widgits Pty Ltd]: Példa Brooklyn Company
Szervezeti egység neve (pl rész) []: Technológiai Osztály
Név (például szerver tartománynév vagy az Ön neve) []: examplebrooklyn.com
E-mail cím []:
, Add, hogy a csapat -subj lehetőséget, például, hogy válaszoljon a lekérdezések CSR néma üzemmódban:
-Tárgy "/ C = US / ST = New York / L = Brooklyn / O = Példa Brooklyn Company / CN = examplebrooklyn.com"
Miután elolvasta a tanúsítvány aláírási kérés, akkor megy minden más részén a használati útmutatót.
Tanúsítvány-aláírási kérés
A generációs privát kulcsot és kérés
Ez a módszer lehetővé teszi, hogy aláírja a tanúsítványt a CA és megvédje a Apache webkiszolgáló vagy nginx HTTPS protokollon keresztül. Kivált aláírásával kérelmet lehet küldeni a CA szerezni aláírt tanúsítványt. Ha a CA támogatja SHA-2, adja az -sha256.
Az alábbi parancs egy 2048 bit privát kulcs (domain.key) és CSR (domain.csr):
openssl req \
-newkey rsa: 2048 -nodes -keyout domain.key \
-ki domain.csr
Töltse ki a mezőket a kérelem aláírását.
Opció -newkey rsa: 2048 megteremti az RSA 2048 bit-kulcsot. -nodes opció letiltja a jelszót a privát kulcs.
lekérdezés generáció a meglévő magánkulcs
Ha már van egy privát kulcsot, de nincs igazolás, akkor létrehoz egy kérelmet, hogy a legfontosabb.
Az alábbi parancs létrehoz egy igazolást kérni (domain.csr) egy meglévő (domain.key) kulcs:
openssl req \
-kulcs domain.key \
-új kijelentkezés domain.csr
Válasz a program folytatni kell. -új opció jelzi, hogy a kérés generálását.
lekérdezés generáció egy meglévő tanúsítvány és kulcs
Ez a módszer lehetővé teszi, hogy frissítse a meglévő tanúsítványt, ha az eredeti tanúsítvány aláírási kérés veszett.
Az alábbi parancs létrehoz egy kérelmet (domain.csr) alapján egy meglévő tanúsítvány (domain.crt) és a saját kulcs (domain.key):
openssl x509 \
-A domain.crt \
-signkey domain.key \
-x509toreq kijelentkezés domain.csr
-x509toreq lehetőség létrehoz egy tanúsítványt X509.
Generálása SSL bizonyítvány
Ha azt szeretnénk, hogy megvédjük a szolgáltatás, de nem akarja, hogy írja alá a CA, hozhat létre, és a tanúsítvány aláírására magad.
Az ilyen bizonyítványok nevezzük önaláíró.
Tény, hogy a saját maga által aláírt tanúsítvány - által aláírt igazolást a saját privát kulcsával. Ezek a tanúsítványok is titkosítja a kapcsolatot, de nem megerősíteni a hitelességét az oldalon, mert a felhasználók az oldal megtekintését, egy figyelmeztetés jelenik meg.
Ha nincs szüksége, hogy erősítse meg a hitelességét az oldalon, akkor nyugodtan használja önaláírású tanúsítványokat.
Generálása egy saját aláírású tanúsítvány
Ez a módszer lehetővé teszi, hogy megvédje a Apache webkiszolgáló vagy nginx HTTPS protokollon keresztül.
Az alábbi parancs egy 2048 bit privát kulcs (domain.key) és CSR (domain.csr):
openssl req \
-newkey rsa: 2048 -nodes -keyout domain.key \
-X509 -days 365 kijelentkezés domain.crt
Töltse ki az aláírás kérelmet.
-x509 lehetőséget teremt önmaga által aláírt tanúsítványt. Opció -days 365 szett a tanúsítvány érvényességét napokban.
A tanúsítványok egy meglévő magánkulcs
Ha már van egy privát kulcsot, de nincs igazolás, akkor létrehoz egy tanúsítványt, hogy a legfontosabb.
Az alábbi parancs létrehoz egy igazolást (domain.csr) egy meglévő kulcs (domain.key):
openssl req \
-kulcs domain.key \
-új \
-X509 -days 365 kijelentkezés domain.crt
Válasz a program folytatni kell.
- -x509 lehetőséget teremt önmaga által aláírt tanúsítványt. Opció -days 365 szett a tanúsítvány érvényességét napokban.
- -új lehetőség indít egy adatkérés létrehozására CSR.
lekérdezés generáció egy meglévő tanúsítvány és kulcs
Ez a módszer lehetővé teszi, hogy hozzon létre egy tanúsítványt, ha már van egy privát kulcs és tanúsítvány aláírási kérelem.
Az alábbi parancs létrehoz egy igazolást (domain.crt) alapján meglévő lekérdezés (domain.csr) és a saját kulcs (domain.key):
openssl x509 \
-signkey domain.key \
-A domain.csr \
-REQ -days 365 kijelentkezés domain.crt
Opció -days 365 szett a tanúsítvány érvényességét napokban.
openssl req -rekumbens -noout -verify -in domain.csr
openssl x509 -rekumbens -noout -in domain.crt
Ellenőrzés tanúsítvány aláírás
Annak ellenőrzésére, hogy a tanúsítványt a CA által aláírt, típusa:
OpenSSL ellenőrizze -verbose -CAFile ca.crt domain.crt
Egyéni gombok
Létrehozása privát kulcsot
Létrehozásához 2048 bit privát kulcs jelszóval védett, írja:
OpenSSL genrsa -des3 kijelentkezés domain.key 2048
Amikor a rendszer kéri, írja be a jelszót, hogy folytassa.
Ellenőrizze a privát kulcsot
Ez a parancs érvényesnek a privát kulcs:
openssl rsa -Check -in domain.key
A véletlen kulcs és tanúsítvány kérelmet
Ez a parancs lehetővé teszi, hogy tudom, hogy a privát kulcs tartozik (domain.key) egy adott igazolás (domain.crt) és a keresleti (domain.csr):
openssl rsa -noout -modulus -in domain.key | openssl md5
openssl x509 -noout -modulus -in domain.crt | openssl md5
openssl req -noout -modulus -in domain.csr | openssl md5
Ha a csapat visszatért ugyanarra a következtetésre, akkor a legvalószínűbb, a kulcs és a tanúsítvány kérelem kapcsolódik.
Titkosító kulcs
A következő parancs kerül egy nem titkosított kulcsot (unencrypted.key) és titkosítja (encrypted.key):
openssl rsa -des3 \
-A unencrypted.key \
-ki encrypted.key
Írja be a jelszót a kulcs titkosításához.
Visszafejtése privát kulcsot
Ez a parancs a titkosított kulcsot:
openssl rsa \
-A encrypted.key \
-ki decrypted.key
Írja be a jelszót a titkosított
Írja be a jelszót visszafejteni a kulcsot.
formátumú tanúsítványok
Ezt megelőzően csak manuális borító X.509 tanúsítványok ASCII PEM kódolást. Vannak azonban sok más formátumot. Egyes formátumok lehetővé teszi, hogy összekapcsolják a komponensek - a kulcs kérelem, az igazolás - egy fájlba.
Conversion PEM a DER
Átalakítani a PEM a DER használja a következő parancsot:
openssl x509 \
-A domain.crt \
-outform der kijelentkezés domain.der
DER formátumban általában használ Java.
Átalakítása DER PEM
Ehhez típusa:
openssl x509 \
-tájékoztatja der -in domain.der \
-ki domain.crt
Átalakítása PEM a PKCS7
Hozzáadásához PEM bizonyítványok (domain.crt és CA-chain.crt) a PKCS7 (domain.p7b) fájltípus:
OpenSSL crl2pkcs7 -nocrl \
-certFile domain.crt \
-certFile ca-chain.crt \
-ki domain.p7b
PKCS7 fájlok (más néven P7B) gyakran használják Java kulcstárolókból és a Microsoft IIS (Windows).
Átalakítás PKCS7 a PEM
Átalakítani PKCS7 a PEM, írja be:
openssl PKCS7 \
-A domain.p7b \
-print_certs kijelentkezés domain.crt
Megjegyzés: PKCS7 fájlt tartalmaz sok összetevőt, mégpedig a tanúsítványt, és egy köztes CA tanúsítványt.
Conversion PEM hogy PKCS12
A következő parancs lehetővé teszi, hogy összekapcsolják a privát kulcsot és tanúsítványt PKCS12 fájlt.
openssl pkcs12 \
-Inkey domain.key \
-A domain.crt \
-export kijelentkezés domain.pfx
A program kérni fogja a jelszót. PKCS12 fájl lehetővé teszi, hogy összekapcsolják több tanúsítványt egyetlen PEM-fájlt (domain.crt).
PKCS12 Files (vagy PFX) általánosan használt mozgatni egy sor tanúsítványok Micrsoft IIS (Windows).
Conversion PKCS12 a PEM
Átalakítani PKCS12 fájl PEM formátumban írja be:
openssl pkcs12 \
-A domain.pfx \
-csomópontok kijelentkezés domain.combined.crt
Ha a PKCS12 fájl több objektumot (például kulcs és tanúsítvány), az elmozdulás a PEM fájlt.
változata OpenSSL
A verzió az OpenSSL, OpenSSL version parancsot.
Az alábbi parancs megjeleníti a változat OpenSSL és az összes paramétert, amellyel azt össze.
openssl version -a
Ez az útmutató használ OpenSSL bináris fájlt a következő adatokat:
Most már ismeri az alapvető technikákat és parancsok OpenSSL.