informatique:logiciels:openssl
Differences
This shows you the differences between two versions of the page.
Next revision | Previous revisionNext revisionBoth sides next revision | ||
informatique:logiciels:openssl [2009/01/30 17:41] – créée pteu | informatique:logiciels:openssl [2017/11/13 09:10] – [Afficher des informations] affichage du CN pteu | ||
---|---|---|---|
Line 1: | Line 1: | ||
- | {{tag> | ||
======OpenSSL====== | ======OpenSSL====== | ||
+ | =====Signer un certificat===== | ||
Pour générer un certificat (par exemple pour Apache) : | Pour générer un certificat (par exemple pour Apache) : | ||
- | | + | <code bash> |
+ | openssl req -new -x509 -days 365 -nodes -out / | ||
+ | </ | ||
* '' | * '' | ||
Line 12: | Line 14: | ||
* '' | * '' | ||
* '' | * '' | ||
+ | |||
+ | |||
+ | =====Afficher des informations===== | ||
+ | |||
+ | Il faut d' | ||
+ | |||
+ | Lire les informations d'un fichier local : | ||
+ | <code bash> | ||
+ | # afficher l' | ||
+ | openssl x509 -noout -in fichier.pem -text | ||
+ | |||
+ | # afficher toutes les infos sauf la signature chiffrée | ||
+ | openssl x509 -noout -in fichier.pem -text -certopt no_sigdump | ||
+ | |||
+ | # afficher uniquement le sujet, l' | ||
+ | openssl x509 -noout -in fichier.pem -subject | ||
+ | openssl x509 -noout -in fichier.pem -email | ||
+ | openssl x509 -noout -in fichier.pem -serial | ||
+ | # 2 équivalents : | ||
+ | openssl x509 -noout -in fichier.pem -dates | ||
+ | openssl x509 -noout -in fichier.pem -startdate -enddate | ||
+ | |||
+ | # pas d' | ||
+ | openssl x509 -noout -in fichier.pem -subject | sed -e ' | ||
+ | |||
+ | # afficher uniquement les extensions x509v3 | ||
+ | # (on est d' | ||
+ | openssl x509 -noout -in fichier.pem -text -certopt \ | ||
+ | | ||
+ | </ | ||
+ | |||
+ | Pour un site web (distant) donné : | ||
+ | <code bash> | ||
+ | openssl s_client -connect google.fr: | ||
+ | </ | ||
+ | |||
+ | |||
+ | =====Convertir un certificat===== | ||
+ | |||
+ | Pour convertir un certificat du format PEM vers DER par exemple : | ||
+ | <code bash> | ||
+ | openssl x509 -inform pem -in fichier.pem -outform der -out fichier.der | ||
+ | </ | ||
+ | |||
+ | =====Vérifier si un certificat est révoqué===== | ||
+ | |||
+ | Un certificat peut être invalide s'il n'est pas signé par une CA reconnue, s'il est expiré (ou pas encore valide :D), et s'il a été révoqué. Pour vérifier ce dernier cas il faut récupérer le numéro de série du certificat et vérifier s'il n’apparaît pas dans la liste de révocation (CRL) de la CA. En très sale ça donnerait ceci : | ||
+ | <code bash> | ||
+ | # on récupère le numéro de série du certificat à tester | ||
+ | SN=$(openssl x509 -noout -in louche.pem -serial | cut -d" | ||
+ | # rechercher son occurence dans la liste de révocation | ||
+ | openssl crl -noout -text -in crl.pem | grep -A1 " | ||
+ | </ | ||
+ | Si le certificat est révoqué ça nous retournera quelque chose du style : | ||
+ | <code bash> | ||
+ | Serial Number: 0007 | ||
+ | Revocation Date: Nov 6 14:23:40 2017 GMT | ||
+ | </ |
informatique/logiciels/openssl.txt · Last modified: 2022/10/27 09:54 by pteu