# openssl x509 -noout -text -in <zertifikatsname.crt>
# openssl x509 -noout -issuer -in <zertifikatsname.crt>
# openssl x509 -noout -subject -in <zertifikatsname.crt>
# openssl x509 -noout -dates -in <zertifikatsname.crt>
# openssl x509 -noout -issuer -subject -dates -in <zertifikatsname.crt>
# openssl x509 -noout -hash -in <zertifikatsname.crt>
# openssl x509 -noout -fingerprint -in <zertifikatsname.crt>
# openssl verify -CApath /etc/pki/tls/certs -verbose <zertifikatsname.crt>
# openssl s_client -CApath /etc/pki/tls/certs -connect localhost:636 -showcerts
# openssl rsa -in <zertifikatsname.key> -out <neueskeyfile.key>
# openssl rsa -des3 -in <zertifikatsname.key> -out <neueskeyfile.key>
# openssl genrsa -out <zertifikatsname.key> 4096
# openssl rsa -des3 -in <zertifikatsname.key> -out <zertifikatsname.key.sec>
# openssl req -new -key <zertifikatsname.key> -out <zertifikatsname.csr>
Möchte man SHA256 als Signatur Hash verwenden gibt man noch die Option -sha256 beim Generieren des Certificate Signing Request an.
# openssl req -new -sha256 -key <zertifikatsname.key> -out <zertifikatsname.csr>
# openssl req -noout -text -in <request.csr>
# openssl x509 -outform der -in certificate.pem -out certificate.der
# openssl crl2pkcs7 -nocrl -certfile certificate.cer -out certificate.p7b -certfile CACert.cer
# openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt
# openssl x509 -inform der -in certificate.cer -out certificate.pem
# openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer
# openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer
oder
# openssl pkcs12 -export -in certificate.cer -inkey privateKey.key -out certificate.pfx -certfile CACert.cer
# openssl pkcs12 -in certificate.pfx -out certificate.cer -nodes
Möchte man aus einem Clientzertifikat, welches mit dem Browser Firefox erstellt wurde oder aus einem ISS PFX-Container den Schlüssel extrahieren, gehen wir wie folgt vor:
$ openssl pkcs12 -in serverzertifikat.p12 -nocerts -out server.key
Enter Import Password: MAC verified OK Enter PEM pass phrase: Verifying - Enter PEM pass phrase:
$ vim server.key
Bag Attributes
friendlyName: Michael Nausch's Root CA ID
localKeyID: 8E D8 F2 19 82 E6 6D 14 08 19 67 0B B6 70 33 C4 24 39 20 85
Key Attributes: <No Attributes>
-----BEGIN ENCRYPTED PRIVATE KEY-----
MIIFDjBABgBur$1ck1$T31NV011IDI07BkiG9w0BBQwwDgQI9KkTgM0blTECAggA
MBQGCCqGSIb3DQMHBAj/FsaQiJyUjASCBMjaR8
...
Hier entfernen wir alles vor der ersten Zeile, so daß die erste Zeile den String —–BEGIN ENCRYPTED PRIVATE KEY—– enthält.
-----BEGIN ENCRYPTED PRIVATE KEY----- MIIFDjBABgBur$1ck1$T31NV011IDI07BkiG9w0BBQwwDgQI9KkTgM0blTECAggA MBQGCCqGSIb3DQMHBAj/FsaQiJyUjASCBMjaR8 ...
Möchte man aus einem Clientzertifikat, welches mit dem Browser Firefox erstellt wurde oder aus einem ISS PFX-Container das Zertifikat selbst, gehen wir wie folgt vor:
$ openssl pkcs12 -in codesigning_cert.p12 -clcerts -nokeys -out server.crt
Enter Import Password: MAC verified OK
Bag Attributes
friendlyName: Michael Nausch's Root CA ID
localKeyID: 8E D8 F2 19 14 08 19 67 49 0B B6 70 33 C4 24 39 20 85
subject=/CN=Michael Nausch/emailAddress=codesigning@nausch.org
issuer=/O=Root CA/OU=http://www.cacert.org/CN=CA Cert Signing Authority/emailAddress=support@cacert.org
-----BEGIN CERTIFICATE-----
MIIFoDCCA4igAwIBAgIDDTYBMA0GCSqGSIb3DQEBBQUAMHkxEDAO7gNVBAoTB1Jv
b3QgQ0ExHjAcBgNVBAsT4Eh0dHA6Ly93d3cuY2FjZXJ0Lm9yZzEiMCAGA1UEAxMZ
Q0EgQ2VydCBTaWduaW5
...
$ vim server.crt
-----BEGIN CERTIFICATE----- MIIFoDCCA4igAwIBAgIDDTYBMA0GCSqGSIb3DQEBBQUAMHkxEDAO7gNVBAoTB1Jv b3QgQ0ExHjAcBgNVBAsT4Eh0dHA6Ly93d3cuY2FjZXJ0Lm9yZzEiMCAGA1UEAxMZ Q0EgQ2VydCBTaWduaW5 ...