Openssl linux

OpenSSL в Linux: установка, базовые операции и примеры

OpenSSL — криптографическая библиотека для защиты сетевых коммуникаций (TLS/SSL‑протоколы). Включает инструменты для работы с ключами, сертификатами, шифрования данных.

1. Проверка установки

Убедитесь, что OpenSSL уже установлен (обычно идёт в комплекте с дистрибутивом):

openssl version

Для подробной информации:

openssl version -a

2. Установка OpenSSL

Для Ubuntu/Debian:

sudo apt-get update
sudo apt-get install openssl

Для CentOS/RHEL:

sudo yum install openssl

Установка из источника (для актуальной версии):

1. Скачайте архив с официального сайта:wget https://www.openssl.org/source/openssl-3.0.7.tar.gz
   
2. Распакуйте:tar -zxvf openssl-3.0.7.tar.gz
   cd openssl-3.0.7
   
3. Соберите и установите (следуйте инструкциям в INSTALL).

3. Основные операции

3.1. Генерация RSA‑ключа

openssl genrsa -out private.key 2048

• private.key — имя файла ключа;
• 2048 — длина ключа в битах (рекомендуется 2048+).

3.2. Создание CSR (Certificate Signing Request) и приватного ключа

openssl req -nodes -newkey rsa:2048 -keyout custom.key -out custom.csr

Система запросит данные (страна, организация, email и т. д.).

3.3. Создание самоподписанного сертификата

openssl req -x509 -sha512 -nodes -days 730 -newkey rsa:2048 \
-keyout custom.key -out custom.pem

• -days 730 — срок действия (2 года);
• -sha512 — алгоритм хеширования;
• -nodes — без шифрования ключа.

3.4. Проверка CSR‑файла

openssl req -noout -text -in custom.csr

Выведет детали запроса на сертификат.

3.5. Проверка срока действия сертификата

openssl x509 -noout -in custom.pem -dates

Покажет notBefore и notAfter.

3.6. Конвертация PEM → DER

openssl x509 -outform der -in custom.pem -out custom.der

3.7. Получение хеш‑значения сертификата

openssl x509 -noout -hash -in custom.pem

3.8. Шифрование файла

openssl enc -aes-256-cbc -salt -in file.txt -out file.enc

• -aes-256-cbc — алгоритм шифрования;
• -salt — добавляет случайную соль;
• -out — имя зашифрованного файла.

3.9. Дешифрование файла

openssl enc -aes-256-cbc -d -in file.enc -out file_dec.txt

• -d — режим дешифрования;
• потребуется пароль, указанный при шифровании.

3.10. Конвертация PFX → PEM

openssl pkcs12 -in certificate.pfx -out certificate.pem -nodes

Извлекает сертификат и ключ из PFX‑файла.

4. Полезные команды

• Просмотр информации о сертификате:openssl x509 -in certificate.pem -text -noout
  
• Проверка цепочки сертификатов:openssl verify -CAfile ca.pem server.pem
  
• Тестирование SSL‑соединения:openssl s_client -connect example.com:443
  

5. Важные замечания

1. Безопасность ключей. Храните приватные ключи (*.key) в защищённом месте. Не передавайте их третьим лицам.
2. Срок действия. Самоподписанные сертификаты имеют ограниченный срок (по умолчанию — 1 месяц, если не указано иное).
3. Алгоритмы. Используйте современные алгоритмы (RSA 2048+, SHA‑256/SHA‑512).
4. Резервное копирование. Сохраняйте копии ключей и сертификатов.
5. Права доступа. Установите строгие права для файлов ключей:chmod 600 private.key
   

6. Где найти документацию

• Официальная страница: openssl.org.
• Справочная система: man openssl.
• Примеры и руководства: openssl help или openssl <команда> -help.