https://kb.pocnet.net/index.php?action=history&feed=atom&title=Wichtige_OpenSSL-Befehle
Wichtige OpenSSL-Befehle - Versionsgeschichte
2026-05-17T13:12:00Z
Versionsgeschichte dieser Seite in Knowledgebase
MediaWiki 1.43.8
https://kb.pocnet.net/index.php?title=Wichtige_OpenSSL-Befehle&diff=2180&oldid=prev
PoC: Typo
2018-12-19T11:02:50Z
<p>Typo</p>
<p><b>Neue Seite</b></p><div>'''OpenSSL''' ist ein mächtiges Werkzeug. Meistens wird es selten gebraucht und daher sind notwendige Befehle alles andere als Routine.<br />
<br />
Wenn man auf der Kommandozeile die Shellvariable ''NAME'' passend setzt, sind die Kommandos quasi fertig für direktes Copy-Paste.<br />
cd /etc/ssl<br />
NAME=server<br />
<br />
Bequemer geht's noch mit<br />
* <code>-passin file:/path/to/file</code>, in der Datei steht dann das Passwort. Gültig für ''Request Signieren'', ''Konvertieren nach pkcs12'' und ''Revoken'',<br />
* Vorausfüllen der ''req_distinguished_name''-Strings in ''/etc/ssl/openssl.cnf'' mit ''_default''-Werten.<br />
<br />
Hier eine Übersicht.<br />
<br />
== Key/Request generieren ==<br />
openssl req -nodes -new -out req/${NAME}Req.pem -keyout private/${NAME}Key.pem<br />
chmod 640 private/${NAME}Key.pem<br />
<br />
== Request signieren ==<br />
openssl ca -batch -in req/${NAME}Req.pem -out certs/${NAME}Cert.pem<br />
<br />
== Selfsigned ==<br />
openssl req -x509 -nodes -days 3650 -new -out certs/${NAME}Cert.pem \<br />
-keyout private/${NAME}Key.pem<br />
<br />
== Konvertieren nach pkcs12 ==<br />
openssl pkcs12 -export -in certs/${NAME}Cert.pem -inkey private/${NAME}Key.pem \<br />
-CApath certs/ -passout pass:${NAME} -chain -out ${NAME}.p12<br />
<br />
== Konvertieren von pkcs12 nach PEM ==<br />
openssl pkcs12 -in ${NAME}.p12 -out ${NAME}Cert.pem -clcerts -nokeys<br />
openssl pkcs12 -in ${NAME}.p12 -out ${NAME}Key.pem -nocerts -nodes<br />
<br />
== Key verschlüsseln mit Passwort ==<br />
openssl rsa -aes256 in private/${NAME}Key.pem -out ${NAME}Key-with-pass.pem<br />
<br />
== Revoken ==<br />
openssl ca -revoke certs/${NAME}Cert.pem<br />
find . -type f -a -name ${NAME}* -exec rm -v {} \;<br />
<br />
== Expiry checken ==<br />
for CERT in /etc/ssl/certs/cacert.pem /etc/ssl/certs/*Cert.pem; do<br />
echo -n "${CERT} "<br />
date -d "`openssl x509 -in ${CERT} -noout -enddate |sed 's/^notAfter=//'`" '+%Y-%m-%d %H:%M:%S'<br />
done |sort -n -k 2<br />
<br />
== Neue Root-CA ==<br />
cat /dev/null > index.txt<br />
echo 01 > crlnumber<br />
mkdir crl newcerts req<br />
openssl req -new -keyout private/cakey.pem -out careq.pem<br />
openssl ca -create_serial -out certs/cacert.pem -days 3650 -batch \<br />
-keyfile private/cakey.pem -selfsign -extensions v3_ca -infiles careq.pem<br />
<br />
[[Kategorie: Crypto]]<br />
[[Kategorie: Linux]]<br />
[[Kategorie: Mac OS X]]</div>
PoC