Meest gebruikte OpenSSL opdrachten

Algemene OpenSSL opdrachten

De volgende commando's laten zien hoe je een CSR, certificaat en private keys kunt aanmaken, en andere vaak voorkomende taken met OpenSSL.

  • Genereer een nieuwe private key en een CSR (Unix)

openssl req -out CSR.csr -pubkey -new -keyout privateKey.key
  

  • Genereer een nieuwe private key en een CSR (Windows)

openssl req -out CSR.csr -pubkey -new -keyout privateKey.key -config .shareopenssl.cmf
   

  • Genereer een CSR voor een bestaande private key

openssl req -out CSR.csr -key privateKey.key -new
   

  • Genereer een CSR op basis van een bestaand certificaat

openssl x509 -x509toreq -in MYCRT.crt -out CSR.csr -signkey privateKey.key
   

  • Genereer een self-signed certificaat

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout privateKey.key -out certificate.crt
   

  • Verwijder een wachtwoord bij een private key

openssl rsa -in privateKey.pem -out newPrivateKey.pem

Controleer CSR, private key of certificaat met OpenSSL

Gebruik de volgende commando's om de informatie te controleren van een certificaat, een CSR of een private key. Je kunt hiervoor ook onze online Tools gebruiken.

  • Controleer een CSR

openssl req -text -noout -verify -in CSR.csr
   

  • Controleer een private key

openssl rsa -in privateKey.key -check
   

  • Controleer een certificaat

openssl x509 -in certificate.crt -text -noout
   

  • Controleer een PKCS#12 bestand (.pfx of .p12)

openssl pkcs12 -info -in keyStore.p12

Debugging met OpenSSL

Bij foutmeldingen, zoals 'de Private Key komt niet overeen met het Certificaat' of 'het Certificaat wordt niet vertrouwd', kun je de volgende commando's gebruiken.  Gebruik ook onze online SSL Check tool om een certificaat te controleren.

  • Controleer de MD5 hash van de public key om na te gaan of het gelijk is aan wat in de CSR of private key staat.

openssl x509 -noout -modulus -in certificate.crt | openssl md5

openssl rsa -noout -modulus -in privateKey.key | openssl md5

openssl req -noout -modulus -in CSR.csr | openssl md5   

  • Controleer een SSL-verbinding. Alle certificaten (ook intermediate certificaten) moeten worden getoond.

openssl s_client -connect https://www.paypal.com:443

Certificaten converteren met OpenSSL

Onderstaande opdrachten zijn voor het converteren van het ene bestandsformaat naar het andere. Dit is soms nodig om de certificaten of private keys geschikt te maken voor verschillende typen servers of software. Converteer bijvoorbeeld een PEM file voor Apache naar PFX (PCKS#12) voor gebruik met Tomcat of IIS.

  • Converteer een DER file (.crt .cer .der) naar PEM

openssl x509 -inform der -in certificate.cer -out certificate.pem

  • Converteer een PEM file naar DER

openssl x509 -outform der -in certificate.pem -out certificate.der

  • Converteer een PKCS#12 file (.pfx .p12) inclusief de private key en certificaat(en) naar PEM

openssl pkcs12 -in keyStore.pfx -out keyStore.pem -nodes

Let op: Voeg toe -nocerts om alleen de private key om te zetten, of voeg toe -nokeys om alleen de certificaten om te zetten.

  • Converteer een PEM certificaat file en een private key naar PKCS#12 (.pfx .p12)

openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

SSLCheck

De SSLCheck controleert of je certificaat goed op je server is geïnstalleerd en of er mogelijke problemen zijn.