OpenSSL cas d'utilisation et conversion
OpenSSL est la boite à outil au coeur des principaux logiciels opensource pour l'implémentation du SSL.- Fabriquer un pkcs12 (.pfx ou .p12) à partir de fichiers pour OpenSSL
- Transformer un pkcs12 (.pfx ou .p12) en fichiers individuels pour apache ou autres produits compatibles OpenSSL
- OpenSSL: comment vérifier si le certificat correspond à la clef?
- OpenSSL: key values mismatch
- OpenSSL: retirer mot de passe sur une clef RSA
- OpenSSL: erreurs 0D0890A1 ou 0D0C50A1 unknown message digest algorithm
- Prouver le controle d'une clé privée à l'aide d'Openssl
Cas liés à SSH :
- Convertir une clé pour openssl/openssh vers un fichier PPK pour Putty. (Nécessite OpenSSH et Puttygen)
- Convertir un PPK en fichiers pour OpenSSH et OpenSSL (Nécessite OpenSSH et Puttygen)
- Utiliser une clé openssl sous openssh (Nécessite OpenSSH)
- Convertir un fichier de clé privée .ppk (Putty) en base64/pem pour OpenSSH ou OpenSSL
Conversion de certificats avec OpenSSL
- PFX (#PKCS12) - Windows vers PEM - Apache
openssl pkcs12 -in certificat.pfx -out certificat.cer -nodes
- P7B (#PKCS7) vers PEM
openssl pkcs7 -print_certs -in certificat.p7b -out certificat.cer
- PEM vers P7B (#PKCS7)
openssl crl2pkcs7 -nocrl -output DER -certfile certificat.pem -out certificat.p7b
Remarque : certificat.pem est généralement la concaténation de votre certificat et des certificats constituant la chaine de certification.
Dans le cas de Chorus Pro, ce service réclame aussi d'y inclure le certificat Racine (liste des certificats racines de TBS CERTIFICATS). Par exemple :
cat pem-xxx-yyy.pem openssl crl2pkcs7 -nocrl -certfile pem-xxx-yyy.pem -out xxx-yyy.p7b
- retirer mot de passe sur une clef RSA chiffré (Private encrypted key)
openssl rsa -in fichier-clef-avec-password.pkey -out fichier-sans-password.key
- DER vers PEM - Apache
openssl x509 -inform der -in certificat.cer -out certificat.pem
- PEM - Apache vers DER
openssl x509 -outform der -in certificat.pem -out certificat.der
- PEM vers PFX (#PKCS12) - Windows
openssl pkcs12 -export -legacy -out certificat.pfx -inkey clef_privee.key -in certificat.crt -certfile CACert.crt
- P7B vers PFX (#PKCS12) - Windows
openssl pkcs7 -in p7-0123456789-1111.p7b -inform DER -out resultat.pem -print_certs openssl pkcs12 -export -legacy -inkey votre_clef_privee.key -in resultat.pem -name mon_label -out resultat_final.pfx
Vous obtenez l'erreur "pkcs12: Unrecognized flag legacy" ?
Dans ce cas retirez le paramètre "-legacy" des commandes ci-dessus.
La version 3 de openSSL a besoin du paramètre "-legacy" pour produire un PFX compatible avec les anciens logiciels. La version 1 de openSSL produit directement un PFX compatible.
Paramètres techniques d’un PFX
Utilisez la commande suivante pour afficher les paramètres techniques d’un PFX à fin de debug :
openssl pkcs12 -noout -info -in fichier.pfx
Liens utiles
- Installer et utiliser OpenSSL sur Windows
- Générer un CSR pour serveurs basés sur OpenSSL
- Installer un certificat pour serveur basé sur OpenSSL
- Utiliser un client SSL linux / openssl
- Comment debuger la demande de certificat client avec openssl?
- Quelle version d'OpenSSL utiliser?
- Comment débugger une connexion SSL avec OpenSSL?
- Demande de certificat utilisateur avec OpenSSL
- Annonce sécurité OpenSSL / Debian (DSA-1571)
- Demande de certificat serveur RGS avec OpenSSL
- Installer un certificat SSL / RGS pour DIGITECH - Airs Delib
Dernière modification le 10/01/2024 10:08:17 --- [Chercher]