Certifikáty jsou dnes všudypřítomné a administrátoři je musí generovat či aktualizovat. Proto vznikl tento stručný návod na nejčastější operace s certifikáty pomocí OpenSSL.

Vygenerování privátního klíče a žádosti o certifikát

Pro vystavení certifikátu je nutné na serveru nejprve vygenerovat žádost. Následující příkaz zajistí vygenerování privátního klíče a žádosti o certifikát, uživatel je v průběhu dotázán o údaje obsažené v žádosti. Při vynechání parametru -nodes bude uživatel požádán také o zadání hesla, které chrání privátní klíč před zneužitím.

openssl req -new -out certrequest.csr -newkey rsa:2048 -nodes -keyout key.pem

Obsah souboru certrequest.csr předáme certifikační autoritě, obsah souboru key.pem zabezpečíme proti zneužití a v žádném případě nikomu nepředáváme.

Zjištění informací o existujícím certifikátu

Při řešení problému s certifikátem je vždy dobré začít kontrolou jeho expirace. Požadované informace získáte zadáním:

openssl x509 -text -in cert.pem

Odstranění hesla z privátního klíče

Heslo zamezuje zneužití privátního klíče. Před jeho odstraněním důrazně doporučujeme zvážit všechny možné důsledky.

Pro odstranění klíče zadejte následující příkaz (během jeho zpracování budete dotázání na aktuální heslo):

openssl rsa -in key.pem -out newkey.pem

Konverze formátu z DER na PEM

Pro konverzi formátu PEM->DER zadejte:

openssl x509 -in cert.der -inform der -out cert.pem -outform pem

Konverze formátu z PEM na DER

Pro konverzi formátu DER->PEM zadejte:

openssl x509 -in cert.pem -inform PEM -out cert.der -outform DER