OpenSSL cas d'utilisation et conversion

• Fabriquer un pkcs12 (.pfx ou .p12) à partir de fichiers pour OpenSSL
• Transformer un pkcs12 (.pfx ou .p12) en fichiers individuels pour apache ou autres produits compatibles OpenSSL
• OpenSSL: comment vérifier si le certificat correspond à la clef?
• OpenSSL: key values mismatch
• OpenSSL: retirer mot de passe sur une clef RSA
• OpenSSL: erreurs 0D0890A1 ou 0D0C50A1 unknown message digest algorithm
• Prouver le controle d'une clé privée à l'aide d'Openssl

• Convertir une clé pour openssl/openssh vers un fichier PPK pour Putty. (Nécessite OpenSSH et Puttygen)
• Convertir un PPK en fichiers pour OpenSSH et OpenSSL (Nécessite OpenSSH et Puttygen)
• Utiliser une clé openssl sous openssh (Nécessite OpenSSH)
• Convertir un fichier de clé privée .ppk (Putty) en base64/pem pour OpenSSH ou OpenSSL

Conversion de certificats avec OpenSSL

• PFX (#PKCS12) - Windows vers PEM - Apache
  

  openssl pkcs12 -in certificat.pfx -out certificat.cer -nodes
          



• P7B (#PKCS7) vers PEM
  

  openssl pkcs7 -print_certs -in certificat.p7b -out certificat.cer
          



• PEM vers P7B (#PKCS7)
  

  openssl crl2pkcs7 -nocrl -output DER -certfile certificat.pem -out certificat.p7b
          

  Remarque : certificat.pem est généralement la concaténation de votre certificat et des certificats constituant la chaine de certification.
  Dans le cas de Chorus Pro, ce service réclame aussi d'y inclure le certificat Racine (liste des certificats racines de TBS CERTIFICATS). Par exemple :
  

  cat pem-xxx-yyy.pem
  openssl crl2pkcs7 -nocrl -certfile pem-xxx-yyy.pem -out xxx-yyy.p7b
          

  
  


• retirer mot de passe sur une clef RSA chiffré (Private encrypted key)
  

  openssl rsa -in fichier-clef-avec-password.pkey -out fichier-sans-password.key 



• DER vers PEM - Apache
  

  openssl x509 -inform der -in certificat.cer -out certificat.pem
          



• PEM - Apache vers DER
  

  openssl x509 -outform der -in certificat.pem -out certificat.der
          



• PEM vers PFX (#PKCS12) - Windows
  

  openssl pkcs12 -export -legacy -out certificat.pfx -inkey clef_privee.key -in certificat.crt -certfile CACert.crt
          



• P7B vers PFX (#PKCS12) - Windows
  

  openssl pkcs7 -in p7-0123456789-1111.p7b -inform DER -out resultat.pem -print_certs
  openssl pkcs12 -export -legacy -inkey votre_clef_privee.key -in resultat.pem -name mon_label -out resultat_final.pfx
          

Vous obtenez l'erreur "pkcs12: Unrecognized flag legacy" ?

Dans ce cas retirez le paramètre "-legacy" des commandes ci-dessus.

La version 3 de openSSL a besoin du paramètre "-legacy" pour produire un PFX compatible avec les anciens logiciels. La version 1 de openSSL produit directement un PFX compatible.

Paramètres techniques d’un PFX

Utilisez la commande suivante pour afficher les paramètres techniques d’un PFX à fin de debug :

openssl pkcs12 -noout -info -in fichier.pfx

Liens utiles

• Installer et utiliser OpenSSL sur Windows
• Générer un CSR pour serveurs basés sur OpenSSL
• Installer un certificat pour serveur basé sur OpenSSL
• Utiliser un client SSL linux / openssl
• Comment debuger la demande de certificat client avec openssl?
• Quelle version d'OpenSSL utiliser?
• Comment débugger une connexion SSL avec OpenSSL?
• Demande de certificat utilisateur avec OpenSSL
• Annonce sécurité OpenSSL / Debian (DSA-1571)
• Demande de certificat serveur RGS avec OpenSSL
• Installer un certificat SSL / RGS pour DIGITECH - Airs Delib

• Manuel OpenSSL
• Changelog OpenSSL