Häufig verwendete OpenSSL-Befehle

Allgemeine OpenSSL-Befehle

Die folgenden Befehle zeigen, wie CSRs, Zertifikate und private Schlüssel sowie einige andere Aufgaben mit OpenSSL erstellt werden können.

  • Einen neuen privaten Schlüssel und CSR erzeugen (Unix)
    openssl req -out CSR.csr -pubkey -new -keyout privateKey.key
  • Einen neuen privaten Schlüssel und CSR erzeugen (Windows)
    openssl req -out CSR.csr -pubkey -new -keyout privateKey.key -config .shareopenssl.cnf
  • Erzeugen einer CSR für einen vorhandenen privaten Schlüssel
    openssl req -out CSR.csr -key privateKey.key -new
  • Erzeugen einer CSR auf der Grundlage eines vorhandenen Zertifikats
    openssl x509 -x509toreq -in MYCRT.crt -out CSR.csr -signkey privateKey.key
  • Erzeugen eines selbstsignierten Zertifikats
    openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout privateKey.key -out certificate.crt
  • Ein Passwort aus einem privaten Schlüssel entfernen
    openssl rsa -in privateKey.pem -out newPrivateKey.pem

Überprüfung CSR, privater Schlüssel oder Zertifikat mit OpenSSL

Verwenden Sie die folgenden Befehle, um die Informationen eines Zertifikats, einer CSR oder eines privaten Schlüssels zu überprüfen. Zu diesem Zweck können Sie auch unsere Online-Tools verwenden.

  • Ein CSR prüfen
    openssl req -text -noout -verify -in CSR.csr
  • Prüfen eines privaten Schlüssels
    openssl rsa -in privateKey.key -check
  • Ein Zertifikat prüfen
    openssl x509 -in certificate.crt -text -noout
  • Prüfen einer PKCS#12-Datei (.pfx oder .p12)
    openssl pkcs12 -info -in keyStore.p12

Fehlersuche mit OpenSSL

Bei Fehlermeldungen wie 'der private Schlüssel stimmt nicht mit dem Zertifikat überein' oder 'das Zertifikat ist nicht vertrauenswürdig' können Sie einen der folgenden Befehle verwenden. Sie können auch unser Online SSL Check Tool verwenden, um das Zertifikat zu überprüfen.

  • Überprüfen Sie den MD5-Hash des öffentlichen Schlüssels, um zu prüfen, ob er mit dem übereinstimmt, was in der CSR oder im privaten Schlüssel steht.
    openssl pkey -in privateKey.key -pubout -outform der | sha256sum
    openssl x509 -in certificate.crt -pubkey | openssl pkey -pubin -pubout -outform der | sha256sum
    openssl req -in CSR.csr -pubkey | openssl pkey -pubin -pubout -outform der | sha256sum
  • Überprüfen Sie eine SSL-Verbindung. Alle Zertifikate (auch Zwischenzertifikate) sollten angezeigt werden.
    openssl s_client -connect www.paypal.com:443

Zertifikate mit OpenSSL konvertieren

Mit den nachstehenden Befehlen können Dateien in ein anderes Format konvertiert werden. Dies ist manchmal notwendig, um Zertifikate oder private Schlüssel für verschiedene Arten von Servern oder Software geeignet zu machen. Eine PEM-Datei für Apache kann z.B. in eine PFX-Datei (PCKS#12) zur Verwendung mit Tomcat oder IIS konvertiert werden.

  • Konvertieren einer DER-Datei (.crt .cer .der) in PEM
    openssl x509 -inform der -in certificate.cer -out certificate.pem
  • Konvertieren einer PEM-Datei in DER
    openssl x509 -outform der -in certificate.pem -out certificate.der
  • Konvertieren einer PKCS#12-Datei (.pfx .p12) einschließlich des privaten Schlüssels und des/der Zertifikate(s) in PEM
    openssl pkcs12 -in keyStore.pfx -out keyStore.pem -nodes

Hinweis: Fügen Sie -nocerts hinzu, um nur den privaten Schlüssel zu konvertieren, oder fügen Sie -nokeys hinzu, um nur die Zertifikate zu konvertieren.

  • Konvertieren einer PEM-Zertifikatsdatei und eines privaten Schlüssels in PKCS#12 (.pfx .p12)
    openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

SSLCheck

SSLCheck überprüft, ob Ihr Zertifikat ordnungsgemäß auf Ihrem Server installiert ist und ob es potenzielle Probleme gibt.

point up