« Openssl » : différence entre les versions
De Wiki doc
(Ajout des sections "Vérifier un couple de clés" et "Convertir des certificats".) |
|||
Ligne 3 : | Ligne 3 : | ||
'''Publique/privé''' | '''Publique/privé''' | ||
openssl req -x509 -nodes -days 5000 -newkey rsa:4096 -out /etc/ssl/certs/server.crt -keyout /etc/ssl/private/server.key | openssl req -x509 -nodes -days 5000 -newkey rsa:4096 -out /etc/ssl/certs/server.crt -keyout /etc/ssl/private/server.key | ||
{{astuce|il est possible de pré-remplir les informations qui seront demandées pour la création du certificat afin de désactiver l’interaction de la commande en ajoutant le paramètre suivant à votre commande : <syntaxhighlight lang="bash" inline>-subj "/C=FR/ST=Paris/L=Paris/O=Entreprise 1/OU=Pôle recherche/CN=toto.exemple.fr, emailAddress = admin@exemple.fr"</syntaxhighlight>.}} | |||
'''Restriction d'accès à la clé privée''' | '''Restriction d'accès à la clé privée''' | ||
chmod 400 /etc/ssl/private/server.key | chmod 400 /etc/ssl/private/server.key | ||
'''Chaînage du certificat''' | '''Chaînage du certificat''' | ||
cat /etc/ssl/certs/server.crt /etc/ssl/private/server.key > /root/chaine.pem | cat /etc/ssl/certs/server.crt /etc/ssl/private/server.key > /root/chaine.pem |
Version du 17 août 2022 à 16:14
Création d'un couple de clés
Publique/privé
openssl req -x509 -nodes -days 5000 -newkey rsa:4096 -out /etc/ssl/certs/server.crt -keyout /etc/ssl/private/server.key
ASTUCE
il est possible de pré-remplir les informations qui seront demandées pour la création du certificat afin de désactiver l’interaction de la commande en ajoutant le paramètre suivant à votre commande :-subj "/C=FR/ST=Paris/L=Paris/O=Entreprise 1/OU=Pôle recherche/CN=toto.exemple.fr, emailAddress = admin@exemple.fr"
.Restriction d'accès à la clé privée
chmod 400 /etc/ssl/private/server.key
Chaînage du certificat
cat /etc/ssl/certs/server.crt /etc/ssl/private/server.key > /root/chaine.pem
Vérifier un couple de clés
Contrôler et afficher une clé privée et publique
openssl rsa -noout -text -check -in doc.ycharbi.fr.key
Afficher le contenu décodé d'un certificat en format PEM
openssl x509 -noout -text -in doc.ycharbi.fr.pem
Afficher le contenu d'un certificat en format PKCS#7
openssl pkcs7 -print_certs -in doc.ycharbi.fr.p7b
Afficher le contenu d'un certificat et d'une clé en format PKCS#12
openssl pkcs12 -info -in doc.ycharbi.fr.p12
Contrôler une connexion TLS et afficher tous les certificats intermédiaires
openssl s_client -connect doc.ycharbi.fr:443
Convertir des certificats
Non testé.
Conversion du format PKCS#12 vers le format PEM
Le format PKCS#12, généralement utilisé par Microsoft Windows et les versions mobiles d'OpenVPN, comporte généralement les extensions .pfx ou .p12.
openssl pkcs12 -nodes -in doc.ycharbi.fr.p12 -out doc.ycharbi.fr.crt
Conversion du format PEM vers le format PKCS#12
openssl pkcs12 -export -in doc.ycharbi.fr.crt -inkey doc.ycharbi.fr.key -out doc.ycharbi.fr.p12
Conversion du format PKCS#7 vers le format PEM
Le format PKCS#7 comporte généralement les extensions .p7b ou .p7c.
openssl pkcs7 -print_certs -in doc.ycharbi.fr.p7b -out doc.ycharbi.fr.crt
Conversion du format PEM vers le format PKCS#7
openssl crl2pkcs7 -nocrl -certfile doc.ycharbi.fr.crt -out doc.ycharbi.fr.p7b
Conversion du format DER vers le format PEM
Le format DER comporte généralement les extensions .crt .cer ou .der.
openssl x509 -inform der -in doc.ycharbi.fr.cer -out doc.ycharbi.fr.pem