Commandes OpenSSL les plus utilisées

Commandes Générales OpenSSL

Les commandes suivantes vous permettent de générer les CSR, Certificats, Clefs Privées et d’autres tâches.

Générer une nouvelle clef privée et matcher un certificate signing request (Unix) 

openssl req -out CSR.csr -pubkey -new -keyout privateKey.key

Générer une nouvelle clef privée et matcher un certificate signing request (Windows)

openssl req -out CSR.csr -pubkey -new -keyout privateKey.key -config .shareopenssl.cmf

Générer un CSR pour une clef privée existante

openssl req -out CSR.csr -key privateKey.key -new

Générer un CSR basé sur un certificat x509 existant

openssl x509 -x509toreq -in MYCRT.crt -out CSR.csr -signkey privateKey.key

Décrypter la clef privée

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout privateKey.key -out certificate.crt

Supprimer une passphrase à partir d’une clef privée

openssl rsa -in privateKey.pem -out newPrivateKey.pem

Commandes de Vérification

Utiliser les commandes suivantes pour vérifier l’information au sein d’un Certificat, d’un CSR ou d’une Clef Privée. Vous pouvez aussi vérifier les CSRs et Certificats en utilisant nos outils en ligne.

Vérifier un CSR

openssl req -text -noout -verify -in CSR.csr

Vérifier une Clef Privée

openssl rsa -in privateKey.key -check

Vérifier un Certificat

openssl x509 -in certificate.crt -text -noout

Vérifier un keystore PKCS#12

openssl pkcs12 -info -in KEYSTORE.p12

Le Debugging des commandes

Si vous recevez des erreurs de certificat, essayer l’une des commandes suivantes pour débugger une connection SSL. Veuillez utiliser aussi notre Site Check pour vérifier le certificat.

Vérifier le MD5 hash de la clef publique

openssl x509 -noout -modulus -in certificate.crt | openssl md5
openssl rsa -noout -modulus -in privateKey.key | openssl md5
openssl req -noout -modulus -in CSR.csr | openssl md5

Veuillez vérifier une connection SSL. Tous les certificats (également intermédiaires) doivent être montrés

openssl s_client -connect https://www.paypal.com:443 

Commandes de Conversion

Utiliser les commandes suivantes pour convertir les certificats et clefs à des formats différents pour les rendre compatibles avec des types spécifiques de serveurs ou logiciels. Par exemple, veuillez convertir un fichier de PEM normal qui pourrait fonctionner avec Apache à un fichier PFX (PKCS#12) pour l’utilisation avec Tomcat ou IIS.

Convertir DER (.crt .cer .der) au format PEM

openssl x509 -outform der -in certificate.cer -out certificate.der

openssl x509 -inform der -in certificate.der -out certificate.pem

Convertir PEM au format DER

openssl x509 -outform der -in certificate.pem -out certificate.der

Convertir PKCS#12 (.pfx .p12) au format PEM qui contient aussi la clef privée et les certificats

openssl pkcs12 -in KEYSTORE.pfx -out KEYSTORE.pem -nodes
    add -nocerts for private key only; add -nokeys for certificates only

Convertir (ajouter) une clef séparée et certificat à un nouvel keystore de type PKCS#12

openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

Sources

Laisser un commentaire