MQL und Pine-Programmiererin Anja Vogel

Openssl & PKI

Freiberufler (w)

Dipl.-Ing. Anja Vogel

Kurze Openssl Hilfe

Zertifikate auslesen

X.509 ist ein Standard für eine PKI (Public-Key-Infrastruktur) und setzt ein System vertrauens­würdiger Zertifizierungsstellen (CA) voraus, die Zertifikate erteilen können. Anwendung findet es in Übertragungsprotokollen für Webseiten (https / SSL / TLS) und zum Unterschreiben und Verschlüsseln von E-Mails (S/MIME-Standard).

-----BEGIN X509 CERTIFICATE----- -----BEGIN CERTIFICATE----- -----BEGIN TRUSTED CERTIFICATE-----

Alle Inhalte auslesen:

openssl x509 -in cert.pem -noout -text openssl x509 -inform DER -in cert.crt -noout -text

Zertifizierungsstelle / Herausgeber:

openssl x509 -in cert.pem -noout -issuer

Ausgestellt für:

openssl x509 -in cert.pem -noout -subject

Gültigkeit:

openssl x509 -in cert.pem -noout -dates

Hash / Fingerprint:

openssl x509 -in cert.pem -noout -hash openssl x509 -in cert.pem -noout -fingerprint

PKCS#12 ist ein passwortgeschützter Container für einen privaten Schlüssel und ein oder mehrere öffentliche Zertifikate. Es wird zum Beispiel zur Ausgabe vom Trustcenter genutzt.

-----BEGIN ENCRYPTED PRIVATE KEY----- -----BEGIN CERTIFICATE-----
openssl pkcs12 -in cert.p12 openssl pkcs12 -in cert.p12 -noout -info

PKCS#7 ist ein Standard zum Signieren und Verschlüsseln von Daten. Meistens wird ein Hash über die Daten signiert, das PKCS#7 kann aber auch die kompletten zu signierenden Daten enthalten.

-----BEGIN PKCS7-----
openssl pkcs7 -inform DER -in cert.p7c openssl pkcs7 -inform PEM -in cert.p7c -print_certs –text

Zertifikate konvertieren

PKCS#12 zu PEM

openssl pkcs12 -in cert.p12 -out cert.pem -nodes

Schlüssel (private):

openssl pkcs12 -in cert.p12 -nocerts -out key.pem -nodes

Zertifikate (public):

openssl pkcs12 -in cert.p12 -nokeys -clcerts -out cert.pem

CA Kette (ca chain):

openssl pkcs12 -in cert.p12 -nokeys -cacerts -out ca-chain.pem

PKCS#7 zu PEM

openssl pkcs7 -in cert.p7c -inform DER -outform PEM -out cert.pem

PEM zu X.509

openssl x509 -in cert.pem -outform DER -out cert.crt

PEM zu PKCS#12

openssl pkcs12 -export -in cert.pem -inkey key.pem -certfile ca.crt -out cert.p12 openssl pkcs12 -export -in ca.pem -inkey ca.key -out ca.p12

PEM zu PKCS#7

openssl crl2pkcs7 -nocrl -certfile cert.pem -certfile ca.crt -outform DER -out cert.p7c