openSSL, recopilem comandes i eines web per securitzar

Tots tart o d’hora ens trobem amb la necessitat d’haber de securitzar comunicacions, i moltes vegades no tens a má la comanda openssl per segons quins casos, és per això que m’he decidit per recopilar-les.

– Per crear petición de certificar (CSR) i clau no signada, demana info per command line:

openssl req -nodes -new -keyout cortinasval.key.pem -out cortinasval.csr.pem
openssl req -nodes -new -keyout cortinasval.key.pem -out cortinasval.csr.pem rsa:2048 

– Per crear petición de certificar (CSR) a partir de clau, demana info per command line:

openssl req -nodes -new -key cortinasval.key.pem -out cortinasval.csr.pem

– Mostra la clau fingerprint d’un clau:

openssl x509 -subject -dates -fingerprint -in cortinasval.key.pem

– Generem clau de 4096 bits

openssl genrsa -out cortinasval.key.pem 4096

– Mostrem informació d’una solicitud de firma (CSR)

openssl req -text -noout -in cortinasval.csr.pem

– Mostrem informació d’un certificat generat

openssl x509 -in cortinasval.crt.pem -noout -text

– Creant fitxers PEM per als servidors

cat cortinasval.key.pem cortinasval.crt.pem cortinasval.dhp.pem > cortinasval.pem

– Firmar e-mails

openssl smine -sign -in msg.txt -text -out msg.encrypted -signer cortinasval.crt.pem -inkey cortinasval.key.pem

– Crear fitxer PKCS12

openssl pkcs12 -export -in cortinasval.crt.pem -inkey cortinasval.key.pem -out fitxer.p12 -name "Marc Cortinas"

– Mostrar certificats utilitzats en la comunicació a un socket

openssl s_client -showcerts -connect marc.cortinasval.cat:443 -CApath /etc/pki/tls/certs

Si volem crear una entitat certificadora ens hem d’assegurar que existeixin els fitxers index.txt(buit) i el serial(posat a 01), a mes, crearem directoris private i network. Editem el fitxer openssl.cnf i configurem default_days_certificate i private_key, finalment posem la cantitat de bits que utilitzarem per a la key (1024..2048)

– Per crear certificat CA

openssl req -new -x509 -days 3650 -keyout private/cortinasval-CA.key.pem -out ./cortinasval-CA.crt.pem 

– Exportar el certificat CA al format DER

openssl x509 -in cortinasval-CA.crt.pem -outform der -out cortinasval-CA.crt

– Revokem un certificat

openssl ca -revoke cortinasval.crt.pem

– Generem la llista de Revocacio de certificats

openssl ca -gencrl -out crl/cortinaslval-CA.crl

– Firmem la petició de certificat (CSR)

openssl ca -out cortinasval.crt.pem -in cortinaslval.req.pem

– Creem el parametre Diffie-Hoffman per l’actual CA

openssl dhparam -out cortinasval-CA.dhp.pem 1536

– Creem certificat auto-signat a partir d’una clau

openssl req -new -x509 -key cortinasval.key.pem -out cortinasval.crt.pem

– Encriptar un fitxer sencill

openssl enc -bf -A -in fitxer_de_test.txt

– Desencriptar un fitxer sencill

openssl enc -bf -d -A -in fitxer_de_test.txt

– Calcul de claus sha1

 openssl speed sha1

Pels servidors Webs que volguem fer ús del httpS, cada proveidor d’entitats certificadores te el seu manual, deixo aquí els 2 que he hagut d’instalar:
Thawte
Startssl

Eines utils per obtener información del nivel de seguretat:
Thhwte tool
SSL Labs

Quins conceptes hem de tenir clar?
– Tamany de Bits utilitzats a l’hora de crear el fitxers .pem
– SAN, noms de dominos acceptats pels certifictats, poden ser N noms, i tambe portar wildcard.

Leave a Reply to Jordi Cancel reply

Your email address will not be published. Required fields are marked *