OpenSSL arbeitet mit SSL -Zertifikaten, privaten Schlüssel und CSRs

OpenSSL arbeitet mit SSL -Zertifikaten, privaten Schlüssel und CSRs

OpenSSL ist ein robustes Open-Source-Toolkit mit vollem Fevection, das SSL- und TLS-Protokolle sowie eine allgemeine Kryptographie-Bibliothek implementiert. Es wird häufig für die Verwaltung von SSL/TLS -Zertifikaten, privaten Schlüssel und Zertifikatsignieranforderungen (CSRs) in verschiedenen Systemen verwendet. In diesem Artikel werden wir untersuchen.

Einführung

  • SSL -Zertifikate: Diese digitalen Zertifikate werden verwendet, um eine sichere Verbindung zwischen einem Server und einem Client mithilfe von SSL/TLS -Protokollen herzustellen. Sie enthalten Informationen über den Zertifikatsinhaber, den Zertifikatsausweis und den öffentlichen Schlüssel.
  • Privatschlüssel: Dies sind kryptografische Schlüssel, die im SSL/TLS -Handshake -Prozess verwendet werden, um die Verbindung zu sichern. Sie müssen geheim und sicher gehalten werden.
  • CSRs: Eine Zertifikatsignalanforderung ist eine Nachricht, die an eine Zertifikatbehörde (CA) gesendet wurde, um ein digitales Zertifikat für einen Server anzufordern.

Installieren von OpenSSL

Stellen Sie vor der Arbeit mit OpenSSL sicher, dass es auf Ihrem System installiert ist. Für die meisten Linux-Verteilungen wird OpenSL vorinstalliert. Wenn nicht, können Sie es mit dem Paketmanager installieren. Zum Beispiel:

  • Ubuntu/Debian: "sudo apt-Get install OpenSSL"
  • CentOS/Fedora: "sudo yum install OpenSSL"

Für Windows können Sie die neueste Version von der offiziellen Website herunterladen: https: // www.OpenSSL.org/

Einen privaten Schlüssel generieren

Verwenden Sie den folgenden Befehl, um einen privaten Schlüssel zu erstellen:

OpenSSL Genpkey -Algorithmus RSA -out privat_key.pem -pkeyopt rsa_keygen_bits: 2048  

Dieser Befehl generiert einen 2048-Bit-RSA-privaten Schlüssel und spart ihn im privaten_key.PEM -Datei.

Erstellen eines CSR

Führen Sie den folgenden Befehl aus, um einen CSR mit dem zuvor erstellten privaten Schlüssel zu generieren:

OpenSSL Req -New -key private_key.pem -out csr.Pem  

Sie werden aufgefordert, Informationen über Ihre Organisation und Ihr Server wie Land, Bundesstaat, Stadt, Organisationsname, gebräuchliche Name (Domainname) und E -Mail -Adresse einzugeben. Nach Abschluss der Eingabeaufforderungen wird der CSR im CSR gespeichert.PEM -Datei.

Selbstsignal ein SSL-Zertifikat

In einigen Fällen benötigen Sie möglicherweise ein selbstsigniertes Zertifikat für Testzwecke. Verwenden Sie den folgenden Befehl, um einen zu erstellen:

OpenSSL X509 -REQ -IN CSR.pem -signkey private_key.pem -out self_signed_certificate.PEM -Tage 365  

Dieser Befehl erstellt ein selbstsigniertes SSL.

SSL -Zertifikate, private Schlüssel und CSRs inspizieren

Verwenden Sie die Details eines SSL -Zertifikats, um die Details eines SSL -Zertifikats anzuzeigen:

OpenSSL X509 -in -Zertifikat.pem -Text -nout  

Um einen privaten Schlüssel zu inspizieren, verwenden Sie:

OpenSSL RSA -in privat_key.pem -Text -nout  

Verwenden Sie, um eine CSR anzuzeigen:

OpenSSL Req -in CSR.pem -Text -nout  

Konvertieren von Zertifikatformaten

OpenSSL unterstützt Zertifikatkonvertierungen, z. B. das Konvertieren eines PEM -Zertifikats in ein Derformat:

OpenSSL X509 -in -Zertifikat.PEM -outForm der -out -Zertifikat.Der  

Dieser Befehl wandelt das Zertifikat um.PEM -Datei von Pem Format zu Der Format und speichert es als Zertifikat.Der.

Verwenden Sie: Um ein Derzertifikat in das PEM -Format umzuwandeln, verwenden Sie:

OpenSSL X509 -Information des -in -Zertifikats.Der -out -Zertifikat.Pem  

Dieser Befehl konvertiert die Zertifikat.Der Datei von Der Format zu Pem Format und speichert es als Zertifikat.Pem.

Erneuerung und widerrufen SSL -Zertifikate

Um ein SSL -Zertifikat zu erneuern, müssen Sie eine neue CSR erstellen und an die Certificate Authority (CA) senden und) einreichen. Befolgen Sie die in den Abschnitten 3 und 4 beschriebenen Schritte, um einen neuen privaten Schlüssel (falls erforderlich) und einen neuen CSR zu generieren. Senden Sie die neue CSR an Ihre CA und erteilt Ihnen ein aktualisiertes SSL -Zertifikat.

Um ein SSL -Zertifikat zu widerrufen, wenden Sie sich an Ihre Zertifikatbehörde (CA) und geben Sie diese mit den erforderlichen Details an, z. B. die Zertifikatseriennummer oder eine Kopie des Zertifikats. Die CA fügt dann das Zertifikat zu ihrer Zertifikat -Widerrufsliste (CRL) hinzu, die den Kunden darüber informiert, dass das Zertifikat nicht mehr gültig ist.

Abschluss

In diesem Artikel haben wir mit OpenSSL mit SSL -Zertifikaten, privaten Schlüssel und CSRs mit SSL -Zertifikaten, privaten Schlüssel und CSRs gearbeitet. Wir haben untersucht, wie private Schlüssel generiert, CSRs erstellt, SSL-Zertifikate selbstsigniert werden, verschiedene SSL-bezogene Dateien inspizieren, Zertifikatformate konvertieren und SSL-Zertifikate erneuern oder widerrufen können. Mit diesem Wissen können Sie SSL -Zertifikate für Ihre Projekte zuversichtlich verwalten und sicher.