cert extension desc
PEM .pem (Privacy Enhanced Mail) Base64 encoding of the DER certificate, with header and footer enclosed between „–—BEGIN CERTIFICATE–—” and „–—END CERTIFICATE–—”
DER .cer, .crt, .der binary DER form, but Base64-encoded certificates are common too (see .pem above)
PKCS#7 .p7b, .p7c SignedData structure without data, just certificate(s) or CRL(s)
PKCS#12 .p12 may contain certificate(s) (public) and private keys (password protected)
PFX .pfx predecessor of PKCS#12 (usually contains data in PKCS#12 format, e.g., with PFX files generated in IIS)

generowanie klucza prywatnego

  • openssl genrsa -des3 -out [output_key_file] 1024

generowanie samopodpisującego się certyfikatu bez klucza prywatnego

  • openssl req -new -newkey rsa:1024 -days 730 -nodes -x509 -keyout [output_key_file] -out [output_cert_file]

generowanie samopodpisującego się certyfiaktu z wykorzystaniem klucza prywatnego

  • openssl req -key [key_file] -new -days 730 -nodes -x509 -out [output_cert_file]

generowanie requesta

  • openssl req -new -key [key_file] -out [output_request_file] #z kluczem
  • openssl req -new -nodes -keyout [output_key_file] -out [output_cert_file] #bez klucza

wyświetlenie requesta

  • openssl req -in [request_file] -noout -text

weryfikacja requesta

  • openssl req -verify -in [request_file] -noout -text #verifikacja requesta
  • openssl req -verify -in [request_file] -key [key_file] -noout -text #weryfkikacja podpisu

własne centrum CA (wykorzystanie skryptów)

generowanie samopodpisującego CA center

  • etc/pki/tls/misc/ -newca – openssl req -new -keyout ..../CA/private/cakey.pem -out ../../CA/careq.pem
  • openssl ca -out ../../CA/cacert.pem $CADAYS -batch -keyfile ../../CA/private/cakey.pem -selfsign -infiles ../../CA/careq.pem

generowanie requesta do podpisu

  • /etc/pki/tls/misc/ -newreq
  • openssl req -new -keyout key.pem -out newreq.pem -days [days#] -config [config_file_path]
  • openssl req -new -key [key_file] -out [cert_file]

podpisanie requesta

  • /etc/pki/tls/misc/CA -sign
  • openssl ca -config /usr/lib/ssl/openssl.cnf -policy policy_anything -out [cert_file] -infiles [request_file]

generowanie samopodpisującej pary (key+cert)

  • /etc/pki/tls/misc/CA -newcert
  • openssl req -new -x509 -keyout [key_file] -out [cert_file] $DAYS

powiązanie klucza z podpisanym requestem

  • usunąć wszystkie linie z podpisanego requesta powyżej lini:
  • cat [key_file] [signed_request] > [output_file]

usunięcie hasła

  • openssl rsa -in [key_file_withpass] -out [key_file_nopass]

wyświetlenie certyfikatu x509

  • openssl x509 -in [cert_file] -noout -text

wyświetlenie certyfikatu pkcs7

  • openssl pkcs7 -in [cert_file] -print_certs

konwersja formatu z DER to PEM

konwersja certyfikatu

  • openssl X509 -in [der_cert_file] -inform DER -out [pem_cert_file].pem -outform PEM

konwersja klucza

  • openssl rsa -in [der_key_file] -inform DER -out [pem_key_file] -outform PEM

konwersja formatu z PEM do PFX

  • openssl pkcs12 -inkey [key_file] -in [cert_file] -export -out [output_file]