https://wiki.p3.ru/index.php?action=history&feed=atom&title=SSL 2026-04-15T07:25:04Z История изменений этой страницы в вики MediaWiki 1.45.1 https://wiki.p3.ru/index.php?title=SSL&diff=259&oldid=prev 2012-08-22T14:54:48Z

<p>Новая страница: «==Полезные команды при работе с SSL-сертификатами == *Создание ключа для SSL-сертификата. opens…»</p> <p><b>Новая страница</b></p><div>==Полезные команды при работе с SSL-сертификатами ==<br /> *Создание ключа для SSL-сертификата. <br /> openssl req -batch -noout -new -newkey rsa:2048 -nodes -keyout cert.key<br /> <br /> В случае утери пароля или файла ключа придется заказывать пересоздание сертификата. <br /> *Генерация CSR-запроса: <br /> openssl req -new -key cert.key -out cert.csr<br /> <br /> Имя домена на который создается запрос прописывается в Common Name - example.com, A challenge password и An optional company name вводить не нужно (просто нажимаем enter). <br /> *Создание ключа и запроса с данными одной командой: <br /> openssl req -batch -new -newkey rsa:2048 -nodes -keyout cert.key -subj &#039;/C=RU/ST=Moscow/L=Moscow/O=Jingel Inc/OU=Research team/emailAddress=root@example.com/CN=example.com&#039; -out cert.csr<br /> *Создание ключа и самоподписанного сертификата одной командой: <br /> openssl req -newkey rsa:1024 -nodes -keyout server.key -out server.crt -x509 -days 3650 -subj \<br /> &quot;/C=XX/ST=XX/L=XX/O=XX/OU=XX/CN=example.com/emailAddress=&quot;root@example.com<br /> *Убрать пароль с ключа (необходимо когда сертификат ставится руками в конфигурацию Apache иначе он при запуске будет просить пароль): <br /> openssl rsa -in cert.key -out cert.key<br /> <br /> и вводим пароль с консоли (либо -passin pass:supersecretpassw0rd что менее секурно так как пароль сохраняется в .history) <br /> *Посмотреть данные CSR: <br /> openssl req -noout -text -in cert.csr<br /> *Данные сертификата (проверить кем выдан например): <br /> openssl x509 -noout -text -in cert.crt<br /> *Проверить, что ключ соответствует сертификату: <br /> openssl x509 -noout -modulus -in cert.crt | openssl md5<br /> openssl rsa -noout -modulus -in cert.key | openssl md5<br /> <br /> Два значения должны совпадать. <br /> *Узнать длину запроса: <br /> echo &#039;(&#039; `openssl req -noout -modulus -in cert.csr | cut -d&#039;=&#039; -f2 | wc -c` &#039;-1)*4&#039; | bc<br /> *Проверить выдачу HTTPS: <br /> openssl s_client -connect localhost:443 -state -debug<br /> GET / HTTP/1.0<br /> <br /> Для почты: <br /> openssl s_client -connect localhost:993 -showcerts<br /> *На операционной системе Windows (в IIS в частности) используется PFX-контейнер для сертификата, его можно создать из файлов ключа и сертификата командой: <br /> openssl pkcs12 -export -in certificate.crt -inkey certificate.key -out certificate.pfx<br /> <br /> <br /> *Как изменить ssl-сертификат, выданный при регистрации сервера? <br /> # cd /usr/local/etc/apache22/<br /> # openssl req -new -newkey rsa:1024 -nodes -keyout server.key -x509 -days 5000 -out server.crt<br /> <br /> Далее отвечаете на вопросы и перезапускаете сервер Apache.<br /> <br /> [[Категория:Apache]]</div>

TTK