openssl для сетевого администратора

-

Часто что-то надо сделать с сертификатами но поскольку это не каждый день то ключи openssl забываются, тут немного полезных команд:

Проверить соответствие закрытого ключа и сертификата (у них у обоих общий модуль (это то огромное число, разложив которое на его простые множители, можно сразу вычислить секретную экспоненту и получить закрытый ключ, благо для ключей 2048 бит это вроде как пока невозможно (эта операция называется факторизация)).

Ну а сравнивать проще по хэшу модуля: 

openssl rsa -noout -modulus -in <фай с ключом>  | openssl md5

openssl x509 -noout -modulus -in <фай с сертификатом> | openssl md5 

Теперь представим что вам нужно разобрать сертификат и закрытый ключ в одном PKCS12 формате (обычно это файл с расширением PFX) на сертификат и закрытый ключ

Тут стоит сделать замечание:

Данные сертификатов хранятся в формате ASN.1  а именно его варианта кодирования DER.

Однако довольно часто нужен формат который можно представить в виде текста, поэтому можно закодировать данные в Base64 - получится сертификат в формате PEM.

теперь ближе к делу:

извлечение закрытого ключа:

openssl pkcs12 -in <файл pfx> -nocerts -out <имя файла с закрытым ключем> -out <имя файла с сертификатом>

потребуется ввести пароль на pfx и потом пароль на ключ.

Либо же сразу добавить два ключа:

-passin pass:<и тут пароль на pfx>

-passout pass:<и тут пароль на экспортируемый закрытый ключ>

если в пароле есть какие то спецсимволы, заключите его в кавычки ""

Можно расшифровать закрытый ключ и сохранить его не зашифрованным: 

openssl rsa -in <имя файла с зашифрованным ключом> -out <имя файла с расшифрованным ключом> -passin pass:<пароль на зашифрованный ключ>

Теперь извлечем из PFX файла только сертификат:

openssl pkcs12 -in <файл pfx> -clcerts -nokeys -out <файл с сертификатом>

Ну а пароль точно так же можно либо ввести интерактивно, либо использовать ключ -passin.

Можно как указано в начале статьи, проверить что ключ и сертификат имеют один и тот же модуль.

Ну а теперь можно собрать обратно ключ с сертификатом в PKCS12 (PFX) файл:

openssl pkcs12 -export -in <имя файла с сертификатом> -inkey <имя файла с закрытым ключем> -out <имя файла PFX> -passout pass:<пароль на файл PFX>

Теперь можно сохранить полученный файл в BASE64 формате:

openssl base64 -in <имя файла PFX> -out <имя файла в формате PFX> 

 

Комментарии

Отправить комментарий

Популярные сообщения из этого блога

Статические маршруты и петли маршрутизации

-
 Допустим у вас есть маршрутизатор, он является шлюзом по умолчанию для ПК. Пусть сеть ПК будет 192.168.0.0 255.255.255.0 Так же у вас есть сеть принтеров 192.168.1.0 255.255.255.0 И предположим есть файрвол, он связан с маршрутизатором PtP сетью например 10.0.0.0 255.255.255.252 Сети у вас иногда добавляются но их немного и вам нет смысла поднимать динамическую маршрутизацию. Но вы на файрволе прописали маршрут на сети 192.168.0.0 255.255.0.0 через маршрутизатор 10.0.0.1 А на маршрутизаторе маршрут по умолчанию на файрвол. И теперь если мы пинганем принтер 192.168.1.5 то если он существует мы увидим ответ а если его нет то будет таймаут. А вот если мы пинганем адрес 192.168.2.5 то мы увидим ответ от маршрутизатора что истек TTL потому что у маршрутизатора адрес 192.168.2.5 попадает в маршрут по умолчанию на файрвол, а у файрвола он же в маршрут на сети 192.168.0.0 255.255.0.0 на маршрутизатор. Так они и шлют трафик друг другу пока не истечет TTL. Что делать? 1. Прописать маршруты ...
Далее...

Двухфакторная аутентификация на VPN шлюзах для всех

-
Двухфакторная аутентификация с использованием одноразовых паролей, является одним из самых надежных методов защиты от несанкционированного доступа к внутренним ресурсам компании, так как с одной стороны делает утечку логина/пароля не достаточной для того чтоб злоумышленник смог получить доступ, и с другой делает невозможной перебор паролей, так как перебирать нужно одновременно логин, пароль и одноразовый пароль, а он все время разный. Одноразовый пароль можно например отправить по СМС или по электронной почте, или можно его сгенерировать при помощи программного или аппаратного токена что наиболее удобно и бесплатно. Поставщиков программного обеспечения для двухфакторной аутентификации великое множество, как облачных так и тех кто позволяет развернуть его внутри компании. Для примера приведем несколько подобных: DUO SafeNet MFASoft Multifactor multiOTP   Большинство подобных продуктов состоит, как минимум из следующих компонентов: 1. Radius сервера, который взаимодействует с ш...
Далее...

Определение состояния пользователя в AD - заблокирован/выключен

-
 Итак есть атрибут userAccountControl И вроде бы у него есть все нужные биты (флаги): PASSWORD_EXPIRED 0x800000 LOCKOUT    0x0010 ACCOUNTDISABLE 0x0002  Выключаем пользователя и видим что флаг  ACCOUNTDISABLE  установлен. Теперь вводин несколько раз (согласно политике) неправильный пароль, и видим что флаг  LOCKOUT    не установлен. При этом атрибут  lockoutTime имеет не нулевое значение, что указывает на то что учетная запись таки заблокировалась. Так вот, с Windows 2003 есть еще один атрибут: msDS-User-Account-Control-Computed И в нем флаг LOCKOUT установлен. Вот по нему (или по lockoutTime ) и можно ориентироваться.  
Далее...