Artigos gerais

OpenSSL trabalhando com certificados SSL, chaves privadas e CSRs

OpenSSL trabalhando com certificados SSL, chaves privadas e CSRs

OpenSSL é um kit de ferramentas de código aberto robusto e completo que implementa os protocolos SSL e TLS, bem como uma biblioteca de criptografia de uso geral. É amplamente utilizado para gerenciar certificados SSL/TLS, chaves privadas e solicitações de assinatura de certificação (CSRs) em vários sistemas. Neste artigo, exploraremos como trabalhar com certificados SSL, chaves privadas e CSRs usando o OpenSSL, juntamente com exemplos para ajudá -lo a entender cada etapa.

Introdução

  • Certificados SSL: Esses certificados digitais são usados ​​para estabelecer uma conexão segura entre um servidor e um cliente usando protocolos SSL/TLS. Eles contêm informações sobre o titular do certificado, o emissor de certificado e a chave pública.
  • Chaves privadas: Essas são chaves criptográficas usadas no processo de aperto de mão SSL/TLS para proteger a conexão. Eles devem ser mantidos em segredo e seguros.
  • CSRS: Uma solicitação de assinatura de certificado é uma mensagem enviada a uma autoridade de certificação (CA) para solicitar um certificado digital para um servidor.

Instalando o OpenSSL

Antes de trabalhar com o OpenSSL, verifique se ele está instalado em seu sistema. Para a maioria das distribuições Linux, o OpenSSL vem pré-instalado. Caso contrário, você pode instalá -lo usando o gerenciador de pacotes. Por exemplo:

  • Ubuntu/Debian: 'sudo apt-get install OpenSSL'
  • CENTOS/FEDORA: 'sudo yum install openssl'

Para Windows, você pode baixar a versão mais recente do site oficial: https: // www.OpenSSL.org/

Gerando uma chave privada

Para criar uma chave privada, use o seguinte comando:

Openssl genpkey -Algorithm RSA -Out private_key.PEM -PKEYOPT RSA_KEYGEN_BITS: 2048

Este comando gera uma chave privada RSA de 2048 bits e a salva no private_key.arquivo PEM.

Criando uma CSR

Para gerar uma RSE usando a chave privada criada anteriormente, execute o seguinte comando:

OpenSSL req -New -Key Private_Key.PEM -OUT CSR.PEM

Você será solicitado a inserir informações sobre sua organização e servidor, como país, estado, cidade, nome da organização, nome comum (nome de domínio) e endereço de e -mail. Depois de concluir os avisos, a RSE será salva na CSR.arquivo PEM.

Auto-inscrição um certificado SSL

Em alguns casos, você pode precisar de um certificado autoassinado para fins de teste. Para criar um, use o seguinte comando:

OpenSSL x509 -req -in CSR.PEM -SignKey Private_Key.PEM -OUT self_signed_certificate.PEM -Daiu 365

Este comando cria um certificado SSL autoassinado com uma validade de 365 dias usando a CSR fornecida e a chave privada.

Inspecionando certificados SSL, chaves privadas e CSRs

Para visualizar os detalhes de um certificado SSL, use:

OpenSSL X509 -An Certificado.PEM -Text -Noout

Para inspecionar uma chave privada, use:

OpenSSL RSA -Em Private_Key.PEM -Text -Noout

Para visualizar uma RSE, use:

OpenSSL Req -in CSR.PEM -Text -Noout

Formatos de certificado de conversão

O OpenSSL suporta conversões de certificação, como a conversão de um certificado PEM em um formato Der:

OpenSSL X509 -An Certificado.Certificado PEM -Outform der -out.der

Este comando converte o certificado.arquivo PEM de PEM formato para Der formatar e salvá -lo como certificado.der.

Para converter um certificado Der em formato PEM, use:

OpenSSL x509 -Inform der -in Certificado.Certificado Der -out.PEM

Este comando converte o certificado.der arquivo de Der formato para PEM formatar e salvá -lo como certificado.PEM.

Renovar e revogando certificados SSL

Para renovar um certificado SSL, você precisa criar uma nova RSE e enviá -lo à Autoridade de Certificação (CA). Siga as etapas descritas nas seções 3 e 4 para gerar uma nova chave privada (se necessário) e um novo CSR. Envie o novo CSR para sua CA e eles fornecerão um certificado SSL atualizado.

Para revogar um certificado SSL, entre em contato com sua autoridade de certificado (CA) e forneça os detalhes necessários, como o número de série do certificado ou uma cópia do certificado. A CA adicionará o certificado à sua lista de revogação de certificados (CRL), que informa aos clientes que o certificado não é mais válido.

Conclusão

Neste artigo, abordamos como trabalhar com certificados SSL, chaves privadas e CSRs usando o OpenSSL. Exploramos como gerar chaves privadas, criar CSRs, certificados SSL de auto-indeassidão, inspecionar vários arquivos relacionados à SSL, converter formatos de certificado e renovar ou revogar certificados SSL. Com esse conhecimento, você pode gerenciar com confiança os certificados SSL para seus projetos, garantindo conexões seguras e criptografadas entre clientes e servidores.