Meest gebruikte OpenSSL opdrachten

Algemene OpenSSL opdrachten

De volgende commando's laten zien hoe CSR's, certificaten en Private Keys aangemaakt kunnen worden, plus nog enkele overige taken met OpenSSL.

  • Genereer een nieuwe Private Key en een CSR (Unix)
    openssl req -utf8 -nodes -sha256 -newkey rsa:2048 -keyout server.key -out server.csr
  • Genereer een nieuwe Private Key en een CSR (Windows)
    openssl req -out CSR.csr -pubkey -new -keyout privateKey.key -config .shareopenssl.cnf
  • Genereer een CSR voor een bestaande Private Key
    openssl req -out CSR.csr -key privateKey.key -new
  • Genereer een CSR op basis van een bestaand Certificaat
    openssl x509 -x509toreq -in MYCRT.crt -out CSR.csr -signkey privateKey.key
  • Genereer een self-signed Certificaat
    openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout privateKey.key -out certificate.crt
  • Verwijder een wachtwoord bij een Private Key
    openssl rsa -in privateKey.pem -out newPrivateKey.pem

Controleer CSR, Private Key of Certificaat met OpenSSL

Gebruik de volgende commando's om de informatie te controleren van een certificaat, een CSR of een Private Key. Je kunt hiervoor ook onze online Tools gebruiken.

  • Controleer een CSR
    openssl req -text -noout -verify -in CSR.csr
  • Controleer een Private Key
    openssl rsa -in privateKey.key -check
  • Controleer een Certificaat
    openssl x509 -in certificate.crt -text -noout
  • Controleer een PKCS#12 file (.pfx or .p12)
    openssl pkcs12 -info -in keyStore.p12

Debugging met OpenSSL

Bij foutmeldingen, zoals 'de Private Key komt niet overeen met het Certificaat' of 'het Certificaat wordt niet vertrouwd', gebruik een van de volgende commando's. Gebruik ook onze online SSLCheck om een geinstalleerd certificaat te controleren.

  • Controleer de SHA256 hash van de public key om na te gaan of het gelijk is aan wat in de CSR of private key staat.
    openssl pkey -in privateKey.key -pubout -outform der | sha256sum
    openssl x509 -in certificate.crt -pubkey | openssl pkey -pubin -pubout -outform der | sha256sum
    openssl req -in CSR.csr -pubkey | openssl pkey -pubin -pubout -outform der | sha256sum
  • Controleer een SSL-verbinding. Alle certificaten (ook intermediate certificaten) moeten worden getoond.
    openssl s_client -connect www.paypal.com:443

Certificaten converteren met OpenSSL

Onderstaande opdrachten zijn voor het converteren van het ene bestandsformaat naar het andere. Dit is soms nodig om de certificaten of private keys geschikt te maken voor verschillende typen servers of software. Converteer bijvoorbeeld een PEM file voor Apache naar PFX (PCKS#12) voor gebruik met Tomcat of IIS.

  • Converteer een DER file (.crt .cer .der) naar PEM
    openssl x509 -inform der -in certificate.cer -out certificate.pem
  • Converteer een PEM file naar DER
    openssl x509 -outform der -in certificate.pem -out certificate.der
  • Converteer een PKCS#12 file (.pfx .p12) inclusief de private key en certificaat(en) naar PEM
    openssl pkcs12 -in keyStore.pfx -out keyStore.pem -nodes

Let op: Voeg toe -nocerts om alleen de private key om te zetten, of voeg toe -nokeys om alleen de certificaten om te zetten.

  • Converteer een PEM certificaat file en een private key naar PKCS#12 (.pfx .p12)
    openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt
point up