nocip.ssh@mail.ru
Главная  >  Поиск и устранения неполадок

Утилита OpenSSL

Создана 03.12.2025
Отредактирована 03.12.2025
OpenSSL — мощная утилита для работы с криптографией, SSL/TLS протоколами, сертификатами, шифрованием и хешированием. Вот основные способы её использования:
Работа с сертификатами
Просмотр сертификата 
openssl x509 -in certificate.crt -text -noout
Конвертация форматов 
# PEM в DER
openssl x509 -in cert.pem -outform der -out cert.der

# DER в PEM
openssl x509 -in cert.der -inform der -out cert.pem

# PFX/P12 в PEM
openssl pkcs12 -in cert.pfx -out cert.pem -nodes
Проверка цепочки сертификатов 
openssl verify -CAfile ca-bundle.crt your-cert.crt
Создание ключей и сертификатов
Генерация приватного ключа 
# RSA 2048 бит
openssl genrsa -out private.key 2048

# С паролем
openssl genrsa -aes256 -out private.key 2048

# EC ключ
openssl ecparam -genkey -name prime256v1 -out ec.key
Создание самоподписанного сертификата 
openssl req -x509 -new -key private.key -sha256 -days 365 -out cert.crt
Создание CSR (запроса на сертификат) 
openssl req -new -key private.key -out request.csr
Диагностика SSL/TLS
Проверка удалённого сервера 
# Полная информация
openssl s_client -connect example.com:443 -showcerts

# С проверкой цепочки
openssl s_client -connect example.com:443 -CAfile ca-bundle.crt

# Проверка конкретного протокола
openssl s_client -connect example.com:443 -tls1_2
Проверка дат истечения 
openssl s_client -connect example.com:443 2>/dev/null | openssl x509 -noout -dates
Шифрование и хеширование
Шифрование файла 
# AES-256-CBC
openssl enc -aes-256-cbc -salt -in file.txt -out file.enc

# Дешифровка
openssl enc -aes-256-cbc -d -in file.enc -out file.txt
Хеширование 
# MD5
openssl md5 file.txt

# SHA256
openssl sha256 file.txt

# Создание HMAC
openssl dgst -sha256 -hmac "ключ" file.txt
Генерация случайных данных 
# 32 байта в base64
openssl rand -base64 32

# 16 байт в hex
openssl rand -hex 16
Проверка скорости алгоритмов 
openssl speed rsa
openssl speed aes
openssl speed sha256

Практические примеры OpenSSL:

1. Проверить SSL сервер: 
echo | openssl s_client -connect google.com:443 -servername google.com 2>/dev/null | openssl x509 -noout -subject -dates
2. Создать простой PKI: 
# Генерация CA
openssl req -x509 -newkey rsa:2048 -days 365 -keyout ca-key.pem -out ca-cert.pem

# Генерация серверного сертификата
openssl req -newkey rsa:2048 -keyout server-key.pem -out server-req.pem
openssl x509 -req -in server-req.pem -CA ca-cert.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem
3. Проверить закрытый ключ: 
openssl rsa -in private.key -check
Важные замечания
  1. Безопасность ключей: Никогда не передавайте приватные ключи;
  2. Современные алгоритмы: Используйте минимум RSA 2048 или ECC 256;
  3. Актуальность: Регулярно обновляйте OpenSSL;
  4. Пароли: Защищайте ключи паролями при необходимости.
Справка
Для получения помощи по конкретной команде: 
openssl command -h
# или
man openssl-command
OpenSSL — очень мощный инструмент. Всегда проверяйте команды перед выполнением на важных системах!