OpenSSL

Serverconfig check	http://www.sslshopper.com/ssl-checker.html
StartSSL Apache Config	http://www.startssl.com/?app=21

Alle Komandos sind so parameterisiert, dass die Keys kein Passwort bekommen.

KEY

openssl genrsa -nodes -out domain.key 4096

CSR

openssl req -new -key domain.key -out domain.csr -sha256

openssl.conf für Wildcard und Multidomain-CSRs

openssl req -new -key domain.key -config openssl.cnf -out domain.csr -sha256

KEY und CSR

openssl req –newkey rsa:4096 –keyout domain.key –nodes –new –out domain.csr -sha256

openssl.conf für Wildcard und Multidomain-CSRs

openssl req –newkey rsa:4096 –keyout domain.key –nodes –new -config openssl.cnf –out domain.csr -sha256

KEY und CSR ohne Prompt mit Suject

openssl req -nodes -newkey rsa:2048 -keyout domain.key -out domain.csr -subj "/C=GB/ST=London/L=London/O=Global Security/OU=IT Department/CN=example.com"

COMPARE

openssl x509 -modulus -in dommain.crt -text -noout | openssl md5
openssl rsa -noout -modulus -in domain.key | openssl md5
openssl req -noout -modulus -in domain.csr | openssl md5

APACHE

cat /tmp/domainkey.pem > /etc/apache2/ssl/domain.pem; cat /tmp/domain.crt  >> /etc/apache2/ssl/domain.pem
ln -s /etc/apache2/ssl/domain.pem `/usr/lib/ssl/misc/c_hash domain.pem`

Wenn Nötig intermediate Zertifikat noch mit anhängen

CHECKS

CSR anschauen

openssl req -text -noout -verify -in CSR.csr

Privatekey anschauen

openssl rsa -in privateKey.key -check
openssl rsa -in privateKey.pem -check

Zertifikat anschauen

openssl x509 -in certificate.crt -text -noout

PEM (PKCS10) in PKCS12

openssl pkcs12 -export -in domain.crt -inkey domain.key -out domain.p12

Mit Root bzw. Chain:

openssl pkcs12 -export -in domain.crt -inkey domain.key -out domain.p12 -certfile CACert.cer