linux:openssl

Verschlüsselung mit Openssl

Dateiverschlüsselung mit Passwort

Datei mit Blowfish verschlüsseln:

openssl enc -e -a -salt -bf -in datei.txt -out datei.bf
enter bf-cbc encryption password:
Verifying - enter bf-cbc encryption password:

Datei wieder entschlüsseln:

openssl enc -d -a -bf -in datei.bf -out dateineu.txt
enter bf-cbc decryption password:

Paßworthash mit MD5

openssl passwd -1
Password:
Verifying - Password:

Zertifikat für Firefox konvertieren

openssl x509 -inform DER -in myca.cer -out myca.crt

aus Wildcard-Zertifikat das Zertifikat in von Linux lesbarer Form extrahieren

openssl pkcs12 -in wildcard_my.dom_exp_2021.pfx -clcerts -nokeys -out wildcard_my_dom_exp_2021.crt

aus Wildcard-Zertifikat den Key mit Passwort exportieren

openssl pkcs12 -in wildcard_my.dom_exp_2021.pfx -nocerts -out wildcard_my_dom_exp_2021.key
Enter Import Password: mussmanwissen
Enter PEM pass phrase: irgendwasdassdanachsowiesowiedergelöschtwird

aus dem Key einen Key ohne Passphrase generieren

openssl rsa -in wildcard_my_dom_exp_2021.key -out wildcard_my_dom_exp_2021nopassphrase.key

Zertifikat mit CA-Zertifikat concatinieren und so ein Chainzertifikat bilden:

cat wildcard_my_dom_exp_2021.crt SectigoRSAOrganizationValidationSecureServerCA.crt >>wildcard_my_domWithChain.crt

Chainzertifikat prüfen

openssl x509 -in wildcard_my_domWithChain.crt -noout -text

Konvertieren von CRT zu PFX

openssl pkcs12 -export -out mycert.pfx -inkey privateKey.key -in mycert.crt -certfile CACert.crt

Konvertieren von PEM zu CER

openssl x509 -in mycert.pem -out mycert.cer

CSR prüfen

openssl req -text -noout -verify -in myrequest.csr.

PEM-Zertifikat prüfen

openssl x509 -in mycert.pem -text -noout

CER-Zertifikat prüfen

openssl x509 -noout -text  -in mycert.cer

Key prüfen

openssl rsa -in mykey.key -text -noout

Ablaufdatum des Zertifikats ermitteln:

openssl x509 -noout -in mycert.cer -enddate

einen Key und daraus ein csr erstellen für ClientAuth:

openssl req -nodes -newkey rsa:4096 -keyout test.key  -out test.csr \
-subj "/C=DE/ST=NRW/L=Stadt/O=meineFirma GmbH/OU=IT/CN=MeinServer/emailAddress=admin@firma.de/postalCode=1234/street=Steinweg 23" \
-addext "subjectAltName = DNS:meinserv, DNS:meinsrv.meine.firma.de,DNS:meinalias.meine.firma.de" \
-addext "extendedKeyUsage = clientAuth"

einen Key, ein CSR und ein Zertifikat auf Gleichheit prüfen

openssl rsa –noout –modulus –in <file>.key | openssl md5
openssl req -noout -modulus -in <file>.csr | openssl md5
openssl x509 –noout –modulus –in <file>.crt | openssl md5

der MD5-Wert muß gleich sein.

einen Server testen

openssl s_client -connect myserver:443

alle Subjects der ca-certificates.crt anzeigen

awk -v cmd='openssl x509 -noout -subject' '/BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-certificates.crt

oder

openssl crl2pkcs7 -nocrl -certfile /etc/ssl/certs/ca-certificates.crt | openssl pkcs7 -print_certs -noout | grep subject