OpenSSL - nuttige commando's

Laatst bijgewerkt op 28 sep 2023 10:31:41.
Categorie: Alles over SSL certificaten | SSL configuratie

CSR OpenSSL SSL

Openssl commands

Hoe OpenSSL gebruiken?

OpenSSL is het Zwitsers zakmes van het certificaatmanagement, maar zoals bij elk goed zwitsers zakmes spendeer je overmatig veel tijd om de uitklapbare vuurboog van het nagelvijltje te onderscheiden. Hieronder een opsomming van meest voorkomende commando's.

Certificaataanvragen en keys genereren

Wie een nieuw SSL certificaat besteld moet een "CSR Request" of "certificaat aanvraag" aanmaken.
Een nieuwe certificaataanvraag genereren met een nieuwe private key doe je als volgt:

openssl req -sha256 -nodes -newkey rsa:2048 -keyout www.server.com.key -out www.server.com.csr

Alternatief kan u hiervoor de Kinamo CSR Generator gebruiken.

Een nieuwe certificaataanvraag genereren met een bestaande private key:

openssl req -new -sha256 -key www.server.com.key -out www.server.com.csr

Als u het certificaat ter beschikking heeft, en de private key, maar de aanvraag niet meer hebt, kan u een certificaataanvraag genereren of CSR genereren op basis van een bestaand certificaat:

openssl x509 -x509toreq -in www.server.com.crt -out www.server.com.csr -signkey www.server.com.key

Een nieuwe RSA key genereren:

openssl genrsa -out www.server.com.key 2048

Een nieuwe ECC key genereren:

openssl ecparam -out server.key -name prime256v1 -genkey

Een zelf-ondertekend (self-signed) certificaat aanmaken voor testdoeleinden:

openssl req -x509 -newkey rsa:2048 -nodes -keyout www.server.com.key -out www.server.com.crt -days 365

Certificaten bekijken en controleren

Een certificaataanvraag controleren en bekijken:

openssl req -noout -text -verify -in www.server.com.csr

Een private key controleren en bekijken:

openssl rsa -noout -text -check -in www.server.com.key

Een certificaat bekijken:

openssl x509 -noout -text -in www.server.com.crt

Een certificaat in PKCS#7 formaat bekijken:

openssl pkcs7 -print_certs -in www.server.com.p7b

Een certificaat en sleutel in PKCS#12 formaat bekijken:

openssl pkcs12 -info -in www.server.com.pfx

Een SSL connectie controleren en alle certificaten in de chain bekijken:

openssl s_client -connect www.server.com:443
Controleren of een certificaat, een certificaataanvraag en een private key dezelfde publieke key hebben:
openssl x509 -noout -modulus -in www.server.com.crt | openssl sha256
openssl req -noout -modulus -in www.server.com.csr | openssl sha256
openssl rsa -noout -modulus -in www.server.com.key | openssl sha256

Converteren van certificaten

Conversie van PKCS#12 ( .pfx .p12 - typisch in gebruik op Microsoft Windows) bestand met private key en certificaten naar PEM (meestal gebruikt op Linux):

openssl pkcs12 -nodes -in www.server.com.pfx -out www.server.com.crt

Conversie van PEM naar PKCS#12:

openssl pkcs12 -export -in www.server.com.crt -inkey www.server.com.key -out www.server.com.pfx

Conversie van PKCS#7 formaat ( .p7b .p7c ) naar PEM:

openssl pkcs7 -print_certs -in www.server.com.p7b -out www.server.com.crt 

Conversie van PEM formaat naar PKCS#7:

openssl crl2pkcs7 -nocrl -certfile www.server.com.crt -out www.server.com.p7b

Conversie van DER (.crt .cer of .der) naar PEM:

openssl x509 -inform der -in certificate.cer -out certificate.pem

Demandes de certificats et gestion de clés

Si vous avez commandé un certificat, il faut générer une demande de certificat pour finaliser la commande. Vous pouvez le faire comme suivant, avec une nouvelle private key:

openssl req -sha256 -nodes -newkey rsa:2048 -keyout www.server.com.key -out www.server.com.csr

Vous pouvez également employer le Générateur de CSR Kinamo pour créer votre CSR.

Générer une nouvelle demande de certificat à base d'une clé existante:

openssl req -new -sha256 -key www.server.com.key -out www.server.com.csr

Générer une demande de certificat à base d'un certificat existant:

openssl x509 -x509toreq -in www.server.com.crt -out www.server.com.csr -signkey www.server.com.key

Générer une nouvelle clé RSA:

openssl genrsa -out www.server.com.key 2048

Générer une nouvelle clé ECC:

openssl ecparam -out server.key -name prime256v1 -genkey

Générer un certificat auto-signé (self-signed) pour des tests:

openssl req -x509 -newkey rsa:2048 -nodes -keyout www.server.com.key -out www.server.com.crt -days 365


Afficher et contrôler les certificats

Contrôler et afficher une demande de certificat:

openssl req -noout -text -verify -in www.server.com.csr

Contrôler et afficher une clé privée et publique:

openssl rsa -noout -text -check -in www.server.com.key

Afficher le contenu décodé d'un certificat en format PEM:

openssl x509 -noout -text -in www.server.com.crt

Afficher le contenu d'un certificat en format PKCS#7:

openssl pkcs7 -print_certs -in www.server.com.p7b

Afficher le contenu d'un certificat et d'une clé en format PKCS#12:

openssl pkcs12 -info -in www.server.com.pfx

Contrôler une connection SSL et afficher tous les certificats intermédiaires:

openssl s_client -connect www.server.com:443

Le Testeur SSL Kinamo vous fournit les mêmes informations en un format plus convivial.

Contrôler si un certificat, une demande de certificat et une clé ont la même clé publique:

openssl x509 -noout -modulus www.server.com.crt | openssl sha256
openssl req -noout -modulus www.server.com.csr | openssl sha256
openssl rsa -noout -modulus www.server.com.key | openssl sha256

Convertir des certificats

Conversion d'un fichier PKCS#12 ( .pfx .p12, typiquement utulisé sur Microsoft Windows) contenant clé privée et certificat vers le format PEM (utilisé sur Linux):

openssl pkcs12 -nodes -in www.server.com.pfx -out www.server.com.crt

Conversion du format PEM vers le format PKCS#12:

openssl pkcs12 -export -in www.server.com.crt -inkey www.server.com.key -out www.server.com.pfx

Conversion du format PKCS#7 ( .p7b .p7c ) vers le format PEM:

openssl pkcs7 -print_certs -in www.server.com.p7b -out www.server.com.crt 

Conversion du format PEM vers le format PKCS#7:

openssl crl2pkcs7 -nocrl -certfile www.server.com.crt -out www.server.com.p7b

Conversion du format DER (.crt .cer ou .der) vers le format PEM:

openssl x509 -inform der -in certificate.cer -out certificate.pem

Gerelateerde artikels

Hoe de taal van Kinamo webmail aanpassen

Dit FAQ-artikel legt uit hoe je de taal van de gebruikersinterface kunt aanpassen in Kinamo Webmail

Lees meer

Kan ik mijn e-mail online raadplegen (via webmail)?

Als u een e-mail heeft bij Kinamo kan u uw mailbox online raadplegen door te surfen naar webmail.kinamo.be. Het enige...

Lees meer

Instellen van een automatische SPAM filter via Kinamo Webmail

Heeft u een email bij Kinamo? Ontdek hier hoe u via de Kinamo Webmail een speciale filter kan aanmaken SPAM...

Lees meer

Extra hulp nodig?

Werden niet al uw vragen beantwoord?
Geen nood, via een support aanvraag helpen wij u graag verder!

Kinamo

Selecteer uw taal

Alle talen: