https://wiki.mna.tom.ru/index.php?action=history&feed=atom&title=%D0%9A%D0%BE%D0%BC%D0%B0%D0%BD%D0%B4%D1%8B_OpenSSLКоманды OpenSSL - История изменений2026-05-18T15:10:42ZИстория изменений этой страницы в викиMediaWiki 1.27.7https://wiki.mna.tom.ru/index.php?title=%D0%9A%D0%BE%D0%BC%D0%B0%D0%BD%D0%B4%D1%8B_OpenSSL&diff=149&oldid=prevAdmin: Новая страница: «category:linux === Полезные команды при работе с SSL-сертификатами === * Создание ключа для SSL-сер…»2016-07-26T02:14:56Z<p>Новая страница: «<a href="/index.php/%D0%9A%D0%B0%D1%82%D0%B5%D0%B3%D0%BE%D1%80%D0%B8%D1%8F:Linux" title="Категория:Linux">category:linux</a> === Полезные команды при работе с SSL-сертификатами === * Создание ключа для SSL-сер…»</p>
<p><b>Новая страница</b></p><div>[[category:linux]]<br />
=== Полезные команды при работе с SSL-сертификатами ===<br />
<br />
* Создание ключа для SSL-сертификата.<br />
openssl req -batch -noout -new -newkey rsa:2048 -nodes -keyout cert.key<br />
В случае утери пароля или файла ключа придется заказывать пересоздание сертификата.<br />
<br />
* Генерация CSR-запроса:<br />
openssl req -new -key cert.key -out cert.csr<br />
Имя домена на который создается запрос прописывается в Common Name - example.com, A challenge password и An optional company name вводить не нужно (просто нажимаем enter).<br />
<br />
* Создание ключа и запроса с данными одной командой:<br />
openssl req -batch -new -newkey rsa:2048 -nodes -keyout cert.key -subj '/C=RU/ST=Moscow/L=Moscow/O=Jingel Inc/OU=Research team/emailAddress=root@example.com/CN=example.com' -out cert.csr<br />
<br />
* Создание ключа и самоподписанного сертификата одной командой:<br />
openssl req -newkey rsa:1024 -nodes -keyout server.key -out server.crt -x509 -days 3650 -subj \<br />
"/C=XX/ST=XX/L=XX/O=XX/OU=XX/CN=example.com/emailAddress="root@example.com<br />
<br />
* Убрать пароль с ключа (необходимо когда сертификат ставится руками в конфигурацию Apache иначе он при запуске будет просить пароль):<br />
openssl rsa -in cert.key -out cert.key<br />
и вводим пароль с консоли (либо -passin pass:supersecretpassw0rd что менее секурно так как пароль сохраняется в .history)<br />
<br />
* Посмотреть данные CSR:<br />
openssl req -noout -text -in cert.csr<br />
<br />
* Данные сертификата (проверить кем выдан например):<br />
openssl x509 -noout -text -in cert.crt<br />
<br />
* Проверить, что ключ соответствует сертификату:<br />
openssl x509 -noout -modulus -in cert.crt | openssl md5<br />
openssl rsa -noout -modulus -in cert.key | openssl md5<br />
Два значения должны совпадать.<br />
<br />
* Узнать длину запроса:<br />
echo '(' `openssl req -noout -modulus -in cert.csr | cut -d'=' -f2 | wc -c` '-1)*4' | bc<br />
<br />
* Проверить выдачу HTTPS:<br />
openssl s_client -connect localhost:443 -state -debug<br />
GET / HTTP/1.0<br />
<br />
* Для почты:<br />
openssl s_client -connect localhost:993 -showcerts<br />
<br />
На операционной системе Windows (в IIS в частности) используется PFX-контейнер для сертификата, его можно создать из файлов ключа и сертификата командой:<br />
* openssl pkcs12 -export -in certificate.crt -inkey certificate.key -out certificate.pfx<br />
<br />
* Как изменить ssl-сертификат, выданный при регистрации сервера?<br />
# cd /usr/local/etc/apache22/<br />
# openssl req -new -newkey rsa:1024 -nodes -keyout server.key -x509 -days 5000 -out server.crt<br />
Далее отвечаете на вопросы и перезапускаете сервер Apache.<br />
<br />
<sub>PS: Взято [http://firstwiki.ru/index.php/%D0%9A%D0%BE%D0%BC%D0%B0%D0%BD%D0%B4%D1%8B_OpenSSL отсюда]</sub></div>Admin