OpenSSL, certificaten, sleutels, Apache
Een makkelijk overzicht voor commando's mbt OpenSSL
| Actie | Command line | |
|---|---|---|
| Genereren van een PEM gecodeerde private key met een modulus van <keysize>. Optioneel -des3 argument om de sleutel te beveiligen. Permissies van een niet beveiligde sleutel dienen 0400 te zijn! | openssl genrsa [-des3] -out my.key <keysize> | |
| Vervaardigen van een X509 certificaat met een duur van <duration> dagen voor sleutel my.key. |
|
|
| Aanmaken van een Certificate Signing Request voor sleutel server.key | openssl req -new -key server.key -out server.csr -subj '/C=NL/ST=ZH/L=Rdam/CN=www.yourserver.com' | |
| Tekenen van een Certificate Signing Request |
openssl x509 -req -in server.csr -out server.crt -sha1 -CA ca.crt -CAkey ca.key -CAcreateserial -days 3650 |
|
| Opvragen details van een certificaat; -text voor een complete dump | openssl x509 -noout -in cert.crt [ -issuer|-subject|-dates|-hash-fingerprint|-text] |
|
| Certificaten conversies | openssl pkcs12 -in mycert.p12 -out mycert.pem -nodes | |
|
openssl x509 –in input.crt –inform [PEM|DES] –out output.crt –outform [PEM|DER] openssl rsa –in input.key –inform [PEM|DES] –out output.key –outform [PEM|DER] |
||
| Exporteren van een certificaat naar .p12 format, gebruikt als "persoonlijke sleutel" (IE) | openssl pkcs12 -export -in private.crt -inkey private.key -name "My private cert" -out my.p12 | |
| Inzien persoonlijke sleutel | openssl pkcs12 -in CertName.p12 |
Keystore
| Maken + importeren .p12 certificaat | keytool -importkeystore -srckeystore <filename>.p12 -destkeystore clientKeyStore.jks -srcstoretype PKCS12 -deststoretype jks -srcstorepass <pass1> -deststorepass <p12 passw> -srcalias "<alias>" -destalias "<alias2>" -srckeypass <pass1> -destkeypass <pass2> |
| keytool -importcert -alias <alias> -file ?.crt -keystore serverTrustStore.jks | |