Tots tart o d’hora ens trobem amb la necessitat d’haber de securitzar comunicacions, i moltes vegades no tens a má la comanda openssl per segons quins casos, és per això que m’he decidit per recopilar-les.
– Per crear petición de certificar (CSR) i clau no signada, demana info per command line:
openssl req -nodes -new -keyout cortinasval.key.pem -out cortinasval.csr.pem openssl req -nodes -new -keyout cortinasval.key.pem -out cortinasval.csr.pem rsa:2048
– Per crear petición de certificar (CSR) a partir de clau, demana info per command line:
openssl req -nodes -new -key cortinasval.key.pem -out cortinasval.csr.pem
– Mostra la clau fingerprint d’un clau:
openssl x509 -subject -dates -fingerprint -in cortinasval.key.pem
– Generem clau de 4096 bits
openssl genrsa -out cortinasval.key.pem 4096
– Mostrem informació d’una solicitud de firma (CSR)
openssl req -text -noout -in cortinasval.csr.pem
– Mostrem informació d’un certificat generat
openssl x509 -in cortinasval.crt.pem -noout -text
– Creant fitxers PEM per als servidors
cat cortinasval.key.pem cortinasval.crt.pem cortinasval.dhp.pem > cortinasval.pem
– Firmar e-mails
openssl smine -sign -in msg.txt -text -out msg.encrypted -signer cortinasval.crt.pem -inkey cortinasval.key.pem
– Crear fitxer PKCS12
openssl pkcs12 -export -in cortinasval.crt.pem -inkey cortinasval.key.pem -out fitxer.p12 -name "Marc Cortinas"
– Mostrar certificats utilitzats en la comunicació a un socket
openssl s_client -showcerts -connect marc.cortinasval.cat:443 -CApath /etc/pki/tls/certs
Si volem crear una entitat certificadora ens hem d’assegurar que existeixin els fitxers index.txt(buit) i el serial(posat a 01), a mes, crearem directoris private i network. Editem el fitxer openssl.cnf i configurem default_days_certificate i private_key, finalment posem la cantitat de bits que utilitzarem per a la key (1024..2048)
– Per crear certificat CA
openssl req -new -x509 -days 3650 -keyout private/cortinasval-CA.key.pem -out ./cortinasval-CA.crt.pem
– Exportar el certificat CA al format DER
openssl x509 -in cortinasval-CA.crt.pem -outform der -out cortinasval-CA.crt
– Revokem un certificat
openssl ca -revoke cortinasval.crt.pem
– Generem la llista de Revocacio de certificats
openssl ca -gencrl -out crl/cortinaslval-CA.crl
– Firmem la petició de certificat (CSR)
openssl ca -out cortinasval.crt.pem -in cortinaslval.req.pem
– Creem el parametre Diffie-Hoffman per l’actual CA
openssl dhparam -out cortinasval-CA.dhp.pem 1536
– Creem certificat auto-signat a partir d’una clau
openssl req -new -x509 -key cortinasval.key.pem -out cortinasval.crt.pem
– Encriptar un fitxer sencill
openssl enc -bf -A -in fitxer_de_test.txt
– Desencriptar un fitxer sencill
openssl enc -bf -d -A -in fitxer_de_test.txt
– Calcul de claus sha1
openssl speed sha1
Pels servidors Webs que volguem fer ús del httpS, cada proveidor d’entitats certificadores te el seu manual, deixo aquí els 2 que he hagut d’instalar:
– Thawte
– Startssl
Eines utils per obtener información del nivel de seguretat:
– Thhwte tool
– SSL Labs
Quins conceptes hem de tenir clar?
– Tamany de Bits utilitzats a l’hora de crear el fitxers .pem
– SAN, noms de dominos acceptats pels certifictats, poden ser N noms, i tambe portar wildcard.
Et recomano mirar-te el paràmetre “modulus”. Un cop el vaig tindre d’utilitzar… 😉