Generování CSR a privátního klíče
Generování CSR žádosti a privátního klíče
Z bezpečnostních důvodů doporučujeme při každém generování CSR žádosti vygenerovat nový privátní klíč. Používáním stejného privátního klíče se vystavujete vysokému riziku.
Veřejný klíč (CSR žádost) i privátní klíč (KEY) můžete vygenerovat pomocí jediného příkazu:
openssl req -out request.csr -new -newkey rsa:2048 -nodes -keyout private.key
Generování CSR k existujícímu privátnímu klíči
openssl req -out request.csr -key private.key -new
Generování CSR a privátního klíče na základě existujícího SSL certifikátu
Generováním nové CSR žádosti a nového privátního klíče podle stávajícího SSL certifikátu si ušetříte čas s přepisováním údajů při prodloužení SSL certifikátu.
openssl x509 -x509toreq -in certificate.crt -out request.csr -signkey private.key
Ověřování informací pomocí openssl
Ověření CSR žádosti
K prohlížení obsahu CSR žádosti můžete použít CSR Viewer
openssl req -text -noout -verify -in request.csr
Ověření privátního klíče
openssl rsa -in private.key -check
Ověření SSL certifikátu (formát x509)
openssl x509 -in certificate.crt -text -noout
Ověření SSL certifikátu (formát PKCS#12)
openssl pkcs12 -info -in store.p12
Porovnání MD5 hash privátního klíče + CSR žádosti + SSL certifikátu
Spravujete-li více SSL certifikátů, snadno se některé soubory zamíchají. Porovnáním MD5 hash CSR žádosti, privátního klíče a SSL certifikátu snadno zjistíte, které k sobě patří.
openssl x509 -noout -modulus -in certificate.crt | openssl md5
openssl rsa -noout -modulus -in private.key | openssl md5
openssl req -noout -modulus -in request.csr | openssl md5
Ostatní užitečné OpenSSL příkazy
Odstranění hesla (passphrase) z privátního klíče
Pokud jste při generování privátního klíče zadali heslo, je toto heslo vyžadováno při každém spuštění serveru. To může být velmi nepohodlné, zejména při větším počtu SSL/TLS certifikátů. Heslo privátního klíče však lze snadno odstranit.
openssl rsa -in private.key -out new.private.key
Ověření SSL spojení se vzdáleným serverem
Pro test spojení bez podpory SNI (Server Name Indication)
openssl s_client -connect www.ssls.cz:443
Pro test spojení s podporou SNI (Server Name Indication)
openssl s_client -connect www.ssls.cz:443 -servername www.ssls.cz
Zobrazení CRL seznamu
Pro zobrazení obsahu CRL souboru (Certificate Revocation List) stačí jeden elegantní příkaz:
openssl crl -inform DER -noout -text -in soubor.crl
Přihlášení
