Приклади використання openssl

Відкликати раніше випущений сертифікат

Після відкликання сертифікату необхідно перебудувати список відкликання, щоб дані про відкликання відповідно сертифікатах були внесені в CRL. При генерації сертифікатів OpenSSL завжди створює його копію в каталозі, заданому директивою new_certs_dir в openssl.cnf. Імена сертифікатів в цьому каталозі складаються з серійного номера сертифіката та розширення .pem (зазвичай). Список виданих сертифікатів та їх серійні номери можна подивитися у файлі index.txt (директива database).

Верифікація сертифікатів по ланцюжку довіри

У разі, якщо все кореневі і проміжні сертифікати є в системі, то буде видано ОК. В іншому випадку буде видана помилка.

Конвертація сертифікатів

Конвертація сертифіката з формату PFX в DER

Конвертація сертифіката з формату P7B в PEM

Конвертація сертифіката з формату PEM в PKCS # 12 (.p12 or .pfx)

Установка власних кореневих сертифікатів

Debian, Ubuntu і похідні дистрибутиви

Скопіювати публічний ключ кореневого сертифіката в / etc / ssl / certs і виконати:

CentOS, Fedora, RHEL і похідні дистрибутиви

Скопіювати публічний ключ кореневого сертифіката в / etc / pki / ca-trust / source / anchors і виконати:

Якщо бачите таке попередження:

то слід включити динамічне оновлення конфігурації, а потім вже виконати extract:

Перевірки і тести

Перевірка SSL-з'єднання

Для перевірки працездатності SSL-з'єднання можна використовувати s_client, котрі відносяться до пакунку OpenSSL

Firefox і деякі версії мобільних браузерів лаються на валідний сертифікат

Це пов'язано з тим, що Mozilla Foundation (або інший постачальник) не постачає проміжні сертифікати разом зі своїм браузером. Для вирішення проблеми потрібно сконкатеніровать сертифікати в ланцюжку довіри в зворотній послідовності, починаючи зі свого.

Наприклад, після покупки сертифікату у вас є три сертифікати від постачальника:

Файл domain.ru.pem тепер містить всі три сертифікати. Саме його і вказуємо в якості x509-сертифікату домена в налаштуваннях веб-сервера, тобто приблизно так:

Робимо nginx -t nginx -s reload і перевіряємо роботу в Firefox і мобільних браузерах. Можна також перевірити через openssl s_client.