Differences

This shows you the differences between two versions of the page.

View differences: Side by SideInline Go

Link to this comparison view

Both sides previous revisionPrevious revision 2025/05/27 09:03 jp 2025/05/27 08:41 jp 2025/05/27 08:40 jp 2025/05/27 08:40 jp 2025/05/15 14:10 jp 2025/05/15 14:08 jp 2025/05/15 14:06 jp 2025/03/17 14:39 jp 2024/12/02 08:26 jp 2024/12/02 08:24 jp 2024/12/02 08:24 jp 2024/11/01 12:01 jp 2024/03/29 15:22 jp 2024/03/21 13:02 jp 2024/01/17 12:10 jp 2024/01/17 12:09 jp 2024/01/17 12:08 jp 2024/01/17 12:08 jp 2024/01/17 12:06 jp 2023/12/12 13:29 jp 2023/12/12 13:28 jp 2023/07/19 10:01 jp 2023/04/11 13:06 jp 2023/04/11 13:06 jp 2023/04/11 13:06 jp 2023/04/11 13:05 jp 2023/04/11 13:05 jp 2023/04/11 13:04 jp 2022/10/27 13:06 jp 2022/10/27 13:06 jp 2022/10/27 13:05 jp createdGo Next revision		Previous revision 2025/05/27 09:03 jp 2025/05/27 08:41 jp 2025/05/27 08:40 jp 2025/05/27 08:40 jp 2025/05/15 14:10 jp 2025/05/15 14:08 jp 2025/05/15 14:06 jp 2025/03/17 14:39 jp 2024/12/02 08:26 jp 2024/12/02 08:24 jp 2024/12/02 08:24 jp 2024/11/01 12:01 jp 2024/03/29 15:22 jp 2024/03/21 13:02 jp 2024/01/17 12:10 jp 2024/01/17 12:09 jp 2024/01/17 12:08 jp 2024/01/17 12:08 jp 2024/01/17 12:06 jp 2023/12/12 13:29 jp 2023/12/12 13:28 jp 2023/07/19 10:01 jp 2023/04/11 13:06 jp 2023/04/11 13:06 jp 2023/04/11 13:06 jp 2023/04/11 13:05 jp 2023/04/11 13:05 jp 2023/04/11 13:04 jp 2022/10/27 13:06 jp 2022/10/27 13:06 jp 2022/10/27 13:05 jp createdGo
openssl [2024/01/17 12:08] – jp		openssl [2025/05/27 09:03] (current) – jp
Line 11:		Line 11:
	Для этого нужно выполнить команду:		Для этого нужно выполнить команду:
-	openssl pkcs12 -export -inkey MyCert.pem -in MyCert.crt -out MyCert.p12	+	openssl pkcs12 -export -inkey MyCert.key -in MyCert.cer -out MyCert.p12
	----		----
-	=== Снять пароль с контейнера pkcs12 (PFX) ===	+	=== Снять пароль с контейнера pkcs12 (pfx) ===
	При помощи OpenSSL можно также снять пароль с контейнера. Для этого сначала извлечём информацию в промежуточный pem-файл, а затем превратим его в pkcs12 без пароля (вводим пустой пароль при запросе второй команды).		При помощи OpenSSL можно также снять пароль с контейнера. Для этого сначала извлечём информацию в промежуточный pem-файл, а затем превратим его в pkcs12 без пароля (вводим пустой пароль при запросе второй команды).
-	<code>openssl pkcs12 -in "C:\cert\source.pfx" -nodes -out "C:\cert\destination.pem"</code>	+	<code>openssl pkcs12 -in "C:\cert\source.pfx" -nodes -out "C:\cert\target.pem"</code>
		+
		+	<code>openssl pkcs12 -export -in "C:\cert\target.pem"  -out "C:\cert\destination.pfx"</code>
	----		----
Line 31:		Line 33:
	К примеру, таким образом можно проверить сертификат сервера LDAP(AD) на порту 636.		К примеру, таким образом можно проверить сертификат сервера LDAP(AD) на порту 636.
		+
		+	А вот в случае, если мы хотим подключиться, к примеру, к //secure smtp// на 587 порту, который предполагает сначала вызов //starttls// - потребуется использовать соответствующий ключ. Пример коннекта:
		+
		+	openssl s_client -connect exch1.arasaka.local:587 -starttls smtp
		+	Так же можно проверять и стандартный коннектор, слушающий на порту 2525 в Exchange:
		+
		+	openssl s_client -connect exch1.arasaka.local:2525 -starttls smtp
		+	Можно вывести серийный номер сертификата такой командой:
		+
		+	openssl s_client -connect ksc1.office.domain.ru:13000 2>&1|openssl x509 -noout -serial
	Сборку OpenSSL для Windows можно скачать из разных источников. Например, отсюда:		Сборку OpenSSL для Windows можно скачать из разных источников. Например, отсюда:
Line 37:		Line 49:
	----		----
		+	=== Проверить версию протокола TLS ===
		+
		+	При помощи SSL мы можем проверить версию протокола TLS на каком-нибудь хосте. Для этого мы можем указать версию для подключения явно. Если в ответе будет сертификат - с соединением всё ОК.
		+
		+	openssl s_client -connect 192.168.1.1:443 -tls1
		+	openssl s_client -connect 192.168.1.1:443 -tls1_1
		+	openssl s_client -connect 192.168.1.1:443 -tls1_2
		+	openssl s_client -connect 192.168.1.1:443 -tls1_3
		+	Если протокол не поддерживается, вместо сертификата получим какую-нибудь ошибку, вроде:
		+
		+	E81C0000:error:0A0000BF:SSL routines:tls_setup_handshake:no protocols available
		+
		+	----
		+
	=== Посмотреть CSR запрос ===		=== Посмотреть CSR запрос ===
Line 42:		Line 68:
	<code>openssl req -in sample.csr -noout -text</code>		<code>openssl req -in sample.csr -noout -text</code>
-	{{tag>Certificates OpenSSL Linux LDAP CSR}}	+
		+	----
		+	=== Установка OpenSSL под Windows ===
		+
		+	Качаем и устанавливаем OpenSSL из msi-пакета (для тривиальных целей достаточно версии OpenSSL Light):
		+
		+	https://slproweb.com/products/Win32OpenSSL.html
		+
		+	Чтобы бинарные файлы OpenSSL можно было удобным образом использовать в терминале - необходимо добавить две переменные окружения.
		+
		+	1. В уже существующую СИСТЕМНУЮ переменную //path// - необходимо добавить директорию //bin// инсталляционной папки //OpenSSL//.
		+
		+	;#;
		+	{{:wiki:open-ssl-path_dir.jpg?600|}}
		+	;#;
		+
		+	2. В ПОЛЬЗОВАТЕЛЬСКУЮ переменную с произвольным понятным именем - необходимо добавить директорю //bin// инсталляционной папки //OpenSSL//.
		+
		+	Результат выглядит следующим образом.
		+
		+	;#;
		+	{{:wiki:open-ssl-path_system.jpg?600|}}
		+	;#;
		+	:!: Если действия не отработали сразу - вероятно, требуется перезагрузка.
		+
		+	----
		+	=== Тестирование скорости работы SSL с разными алгоритмами ===
		+
		+	Вот такой командой можно запустить некий бенчмарк работы SSL с различными алгоритмами, где скорость будет выражаться в количестве операций, произведенных за отрезок времени.
		+
		+	openssl speed rsa2048 rsa4096 ecdsap256
		+	{{tag>Certificates OpenSSL Linux LDAP CSR Windows}}