openssl : Afficher la version installée

Par ronan, 9 avril, 2013

$ openssl version
OpenSSL 3.0.13 30 Jan 2024 (Library: OpenSSL 3.0.13 30 Jan 2024)

$ openssl version -a
OpenSSL 3.0.13 30 Jan 2024 (Library: OpenSSL 3.0.13 30 Jan 2024)
built on: Wed Feb  5 13:17:43 2025 UTC
platform: debian-amd64
options:  bn(64,64)
compiler: gcc -fPIC -pthread -m64 -Wa,--noexecstack -Wall -fzero-call-used-regs=used-gpr -DOPENSSL_TLS_SECURITY_LEVEL=2 -Wa,--noexecstack -g -O2 -fno-omit-frame-pointer -mno-omit-leaf-frame-pointer -ffile-prefix-map=/build/openssl-7xongr/openssl-3.0.13=. -fstack-protector-strong -fstack-clash-protection -Wformat -Werror=format-security -fcf-protection -fdebug-prefix-map=/build/openssl-7xongr/openssl-3.0.13=/usr/src/openssl-3.0.13-0ubuntu3.5 -DOPENSSL_USE_NODELETE -DL_ENDIAN -DOPENSSL_PIC -DOPENSSL_BUILDING_OPENSSL -DNDEBUG -Wdate-time -D_FORTIFY_SOURCE=3
OPENSSLDIR: "/usr/lib/ssl"
ENGINESDIR: "/usr/lib/x86_64-linux-gnu/engines-3"
MODULESDIR: "/usr/lib/x86_64-linux-gnu/ossl-modules"
Seeding source: os-specific
CPUINFO: OPENSSL_ia32cap=0x4ff8e3b7efebffff:0x2294e283
$

Etiquettes

openssl

openssl : Afficher les sous-commandes disponibles

Par ronan, 9 avril, 2013

$ openssl help
help:

Standard commands
asn1parse         ca                ciphers           cmp               
cms               crl               crl2pkcs7         dgst              
dhparam           dsa               dsaparam          ec                
ecparam           enc               engine            errstr            
fipsinstall       gendsa            genpkey           genrsa            
help              info              kdf               list              
mac               nseq              ocsp              passwd            
pkcs12            pkcs7             pkcs8             pkey              
pkeyparam         pkeyutl           prime             rand              
rehash            req               rsa               rsautl            
s_client          s_server          s_time            sess_id           
smime             speed             spkac             srp               
storeutl          ts                verify            version           
x509              

Message Digest commands (see the `dgst' command for more details)
blake2b512        blake2s256        md4               md5               
rmd160            sha1              sha224            sha256            
sha3-224          sha3-256          sha3-384          sha3-512          
sha384            sha512            sha512-224        sha512-256        
shake128          shake256          sm3               

Cipher commands (see the `enc' command for more details)
aes-128-cbc       aes-128-ecb       aes-192-cbc       aes-192-ecb       
aes-256-cbc       aes-256-ecb       aria-128-cbc      aria-128-cfb      
aria-128-cfb1     aria-128-cfb8     aria-128-ctr      aria-128-ecb      
aria-128-ofb      aria-192-cbc      aria-192-cfb      aria-192-cfb1     
aria-192-cfb8     aria-192-ctr      aria-192-ecb      aria-192-ofb      
aria-256-cbc      aria-256-cfb      aria-256-cfb1     aria-256-cfb8     
aria-256-ctr      aria-256-ecb      aria-256-ofb      base64            
bf                bf-cbc            bf-cfb            bf-ecb            
bf-ofb            camellia-128-cbc  camellia-128-ecb  camellia-192-cbc  
camellia-192-ecb  camellia-256-cbc  camellia-256-ecb  cast              
cast-cbc          cast5-cbc         cast5-cfb         cast5-ecb         
cast5-ofb         des               des-cbc           des-cfb           
des-ecb           des-ede           des-ede-cbc       des-ede-cfb       
des-ede-ofb       des-ede3          des-ede3-cbc      des-ede3-cfb      
des-ede3-ofb      des-ofb           des3              desx              
rc2               rc2-40-cbc        rc2-64-cbc        rc2-cbc           
rc2-cfb           rc2-ecb           rc2-ofb           rc4               
rc4-40            seed              seed-cbc          seed-cfb          
seed-ecb          seed-ofb          sm4-cbc           sm4-cfb           
sm4-ctr           sm4-ecb           sm4-ofb

Comme indiqué, il est possible d'afficher les détails des sous-commandes dgst et enc.

$ openssl dgst -h
Usage: dgst [options] [file...]

General options:
 -help               Display this summary
 -list               List digests
 -engine val         Use engine e, possibly a hardware device
 -engine_impl        Also use engine given by -engine for digest operations
 -passin val         Input file pass phrase source

Output options:
 -c                  Print the digest with separating colons
 -r                  Print the digest in coreutils format
 -out outfile        Output to filename rather than stdout
 -keyform format     Key file format (ENGINE, other values ignored)
 -hex                Print as hex dump
 -binary             Print in binary form
 -xoflen +int        Output length for XOF algorithms. To obtain the maximum security strength set this to 32 (or greater) for SHAKE128, and 64 (or greater) for SHAKE256
 -d                  Print debug info
 -debug              Print debug info

Signing options:
 -sign val           Sign digest using private key
 -verify val         Verify a signature using public key
 -prverify val       Verify a signature using private key
 -sigopt val         Signature parameter in n:v form
 -signature infile   File with signature to verify
 -hmac val           Create hashed MAC with key
 -mac val            Create MAC (not necessarily HMAC)
 -macopt val         MAC algorithm parameters in n:v form or key
 -*                  Any supported digest
 -fips-fingerprint   Compute HMAC with the key used in OpenSSL-FIPS fingerprint

Random state options:
 -rand val           Load the given file(s) into the random number generator
 -writerand outfile  Write random data to the specified file

Provider options:
 -provider-path val  Provider load path (must be before 'provider' argument if required)
 -provider val       Provider to load (can be specified multiple times)
 -propquery val      Property query used when fetching algorithms

Parameters:
 file                Files to digest (optional; default is stdin)

$ openssl enc -h
Usage: enc [options]

General options:
 -help               Display this summary
 -list               List ciphers
 -ciphers            Alias for -list
 -e                  Encrypt
 -d                  Decrypt
 -p                  Print the iv/key
 -P                  Print the iv/key and exit
 -engine val         Use engine, possibly a hardware device

Input options:
 -in infile          Input file
 -k val              Passphrase
 -kfile infile       Read passphrase from file

Output options:
 -out outfile        Output file
 -pass val           Passphrase source
 -v                  Verbose output
 -a                  Base64 encode/decode, depending on encryption flag
 -base64             Same as option -a
 -A                  Used with -[base64|a] to specify base64 buffer as a single line

Encryption options:
 -nopad              Disable standard block padding
 -salt               Use salt in the KDF (default)
 -nosalt             Do not use salt in the KDF
 -debug              Print debug info
 -bufsize val        Buffer size
 -K val              Raw key, in hex
 -S val              Salt, in hex
 -iv val             IV in hex
 -md val             Use specified digest to create a key from the passphrase
 -iter +int          Specify the iteration count and force the use of PBKDF2
                     Default: 10000
 -pbkdf2             Use password-based key derivation function 2 (PBKDF2)
                     Use -iter to change the iteration count from 10000
 -none               Don't encrypt
 -*                  Any supported cipher

Random state options:
 -rand val           Load the given file(s) into the random number generator
 -writerand outfile  Write random data to the specified file

Provider options:
 -provider-path val  Provider load path (must be before 'provider' argument if required)
 -provider val       Provider to load (can be specified multiple times)
 -propquery val      Property query used when fetching algorithms

Etiquettes

openssl

openssl : Tester les performances de son système

Par ronan, 11 janvier, 2022

L'option speed permet de tester les capacités du sytème pour encrypter des données avec les différents algorithmes de cryptage pendant une période donnée.

$ openssl speed
Doing md2 for 3s on 16 size blocks: 149573 md2's in 2.54s
Doing md2 for 3s on 64 size blocks: 82254 md2's in 2.74s
Doing md2 for 3s on 256 size blocks: 26039 md2's in 2.58s
Doing md2 for 3s on 1024 size blocks: 8149 md2's in 2.93s
Doing md2 for 3s on 8192 size blocks: 1072 md2's in 2.99s
Doing md4 for 3s on 16 size blocks: 3651107 md4's in 2.87s
Doing md4 for 3s on 64 size blocks: 3393515 md4's in 3.00s
Doing md4 for 3s on 256 size blocks: 2340602 md4's in 2.99s
Doing md4 for 3s on 1024 size blocks: 1045777 md4's in 3.00s
Doing md4 for 3s on 8192 size blocks: 167900 md4's in 2.96s
Doing md5 for 3s on 16 size blocks: 3080791 md5's in 2.99s
Doing md5 for 3s on 64 size blocks: 2599131 md5's in 3.00s
Doing md5 for 3s on 256 size blocks: 1577068 md5's in 2.87s
Doing md5 for 3s on 1024 size blocks: 666677 md5's in 2.99s
Doing md5 for 3s on 8192 size blocks: 102011 md5's in 2.99s
...

Pour l'exemple, mon système est capable d'encrypter 666 677 fichiers de 1024 octets en 3s maximum.

Il est possible d'effectuer le test sur un algorithme précis :

$ openssl speed sha256
Doing sha256 for 3s on 16 size blocks: 1626266 sha256's in 2.94s
Doing sha256 for 3s on 64 size blocks: 958515 sha256's in 3.00s
Doing sha256 for 3s on 256 size blocks: 415732 sha256's in 2.99s
Doing sha256 for 3s on 1024 size blocks: 127673 sha256's in 2.99s
Doing sha256 for 3s on 8192 size blocks: 16527 sha256's in 2.87s
OpenSSL 0.9.8o 01 Jun 2010
built on: Mon Feb 11 21:27:58 UTC 2013
options:bn(64,32) md2(int) rc4(idx,int) des(ptr,risc1,16,long) aes(partial) blowfish(idx)
compiler: gcc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -DL_ENDIAN -DTERMIO -O3 -march=i686 -Wa,--noexecstack -g -Wall -DOPENSSL_BN_ASM_PART_WORDS -DOPENSSL_IA32_SSE2 -DSHA1_ASM -DMD5_ASM -DRMD160_ASM -DAES_ASM
available timing options: TIMES TIMEB HZ=100 [sysconf value]
timing function used: times
The 'numbers' are in 1000s of bytes per second processed.
type             16 bytes     64 bytes    256 bytes   1024 bytes   8192 bytes
sha256            8850.43k    20448.32k    35594.45k    43724.80k    47173.93k

Il est possible également de tester les performances SSL d'un serveur distant :

$ openssl s_time -connect quennec.fr:443 -www / -new -tls1_3
Collecting connection statistics for 30 seconds
************************************************************************************************************************************************************************************************************************************************************************************************************

300 connections in 1.87s; 160.43 connections/user sec, bytes read 34200
300 connections in 31 real seconds, 114 bytes read per connection

Il est possible également de simuler un serveur SSL pour effectuer le test de performance :

1 - Générer un certificat pour le serveur simulé (répondre aux questions posées)
La clé et le certificat seront dans le même fichier

$ openssl req -x509 -nodes -days 365 -newkey rsa:4096 -keyout cert.pem -out cert.pem

2 - Démarrage du serveur simulé (le serveur sera démarré sur le port 4433)

$ openssl s_server -cert cert.pem -www

3 - Dans un autre terminal, tester les performances du serveur simulé

$ openssl s_time -connect localhost:4433 -www / -new -tls1_3
No CIPHER specified
Collecting connection statistics for 30 seconds
333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333...
33333333333333333333333333
 
3301 connections in 6.07s; 543.82 connections/user sec, bytes read 8506677
3301 connections in 31 real seconds, 2577 bytes read per connection

Etiquettes

openssl

openssl : Encoder une chaîne de caractères en base64/md5

Par ronan, 12 octobre, 2012

Pour encoder une chaîne de caractères en base64, utiliser la commande suivante :

$ echo -n "ceci est mon mot de passe" | openssl base64
Y2VjaSBlc3QgbW9uIG1vdCBkZSBwYXNzZQ==

Pour encoder une chaîne de caractères en md5, utiliser la commande suivante :

$ echo -n "ceci est mon mot de passe" | openssl md5
MD5(stdin)= 05a3007ca1ab7a2febeb2cebb7a4895d

Etiquettes

openssl

base64

md5

openssl : Chiffrer-Déchiffrer une chaine de caractères ou un fichier

Par ronan, 20 janvier, 2026

Encodage en BASE64

Encoder le contenu d'un fichier sur la sortie standard :

$ cat fic1
systèmes
$ openssl enc -base64 -in fic1
c3lzdMOobWVzCg==

Encoder le contenu d'un fichier et écrire le résultat dans un autre fichier :

$ openssl enc -base64 -in fic1 -out fic1.enc
$ cat fic1.enc
c3lzdMOobWVzCg==

Encoder une chaine de caractères :

$ echo -n "secret" | openssl enc -base64
c2VjcmV0

Ne pas oublier d'ajouter l'option -n à la commande echo sinon un retour chariot sera ajouté à la chaine encodée.

Sinon, utiliser la commande printf

$ printf "secret" | openssl enc -base64
c2VjcmV0

Décoder une chaine de caractères :

Attention, ne pas ajouter l'option -n à la commande echo

$ echo "c2VjcmV0" | openssl enc -base64 -d
secret

Avec la commande printf, il faut ajouter \n à la fin de la chaine:

$ printf "c2VjcmV0\n" | openssl enc -base64 -d
secret

Décoder le contenu d'un fichier sur la sortie standard :

$ openssl enc -base64 -in fic1.enc -d
systèmes

Décoder le contenu d'un fichier et écrire le résultat dans un autre fichier :

$ openssl enc -base64 -d -in fic1.enc -out fic1.dec
$ cat fic1.dec
systèmes

Chiffrer un fichier avec un algorithme de chiffrement et un mot de passe

1 - Choisir un algorithme de chiffrement :

$ openssl enc -list

2 - Chiffrer un fichier avec l'algorithme DES3 et écrire le contenu dans un autre fichier (génération d'un fichier binaire) :

$ openssl enc -des3 -salt -in fic1 -out fic1.des3 -pbkdf2
enter DES-EDE3-CBC encryption password:
Verifying - enter DES-EDE3-CBC encryption password:
$ cat fic1.des3 ; echo
Salted__rc▒g.▒5ߐ▒       ▒▒c▒NTt▒

Pour le déchiffrage (indication du mot de passe avec l'option -pass) :

$ openssl enc -des3 -d -salt -in fic1.des3 -out file.txt -pass pass:**** -pbkdf2
$ cat file.txt
systèmes

Chiffrage DES3 mais avec un encodage en BASE64 (pour un envoi par mail par exemple) :

$ openssl enc -des3 -a -salt -in fic1 -out fic1.des3 -pbkdf2
enter DES-EDE3-CBC encryption password:
Verifying - enter DES-EDE3-CBC encryption password:
$ cat fic1.des3
U2FsdGVkX19wt+Jvk9Gn8ldo4e5+BOsyzCJGAMXnQYo=

Pour le déchiffrage :

$ openssl enc -des3 -d -a -salt -in fic1.des3 -out file.txt -pbkdf2
enter des-ede3-cbc decryption password:
$ cat file.txt
systèmes

Pour chiffrer un fichier en indiquant le mot de passe dans la ligne de commande (avec l'option -pass) :

$ openssl enc -des3 -salt -in fic1 -out fic1.des3 -pass pass:**** -pbkdf2

Pour chiffrer un fichier en indiquant le mot de passe dans un fichier :

$ openssl enc -des3 -salt -in fic1 -out fic1.des3 -pass file:/root/pass -pbkdf2

Dans ce cas, seule la première ligne du fichier est utilisée comme mot de passe ou phrase de passe.

Pour le déchiffrer :

$ openssl enc -des3 -salt -in fic1.des3 -pass file:/root/pass -pbkdf2 -d
systèmes

Etiquettes

openssl

Pas très efficace

Pas très efficace comme technique pour chiffrer. Si l'on tente l'expérience avec vos exemples, j'obtiens exactement les mêmes résultats... Donc, il est possible de décrypter très facilement une chaîne de caractères comme un message ou un mot de passe, il suffit de faire une correspondance brute-force avec une liste de mots crypter préalablement.... et la correspondance se fera pratiquement toute seule!...

Répondre

Je ne comprends pas

Je ne comprends pas car je viens de refaire tous les tests de mon coté et à aucun moment j'obtiens le même résultat.

Par exemple, avec la commande suivante et le mot de passe "aaaa"

Premier test:

$ openssl enc -des3 -salt -in fic1 -out fic1.des3
$ cat fic1.des3
Salted__▒1▒0▒▒▒]▒w▒▒▒▒▒▒S▒▒

Second test:

$ openssl enc -des3 -salt -in fic1 -out fic1.des3
$ cat fic1.des3
Salted__▒▒Wr[\▒▒▒g}▒p▒▒▒▒7▒▒

Troisième test:

$ openssl enc -des3 -salt -in fic1 -out fic1.des3
$ cat fic1.des3
Salted__▒S▒▒▒F] ▒▒v▒u▒{▒▒[

On voit bien que le contenu des trois fichiers chiffrés n'est pas identique et pourtant le fichier source et le mot de passe sont les mêmes pour les trois tests.

Répondre

Le message date mais...

Je sais que le message date mais ça peut toujours servir.
La différence provient de l'argument -slat, il permet d'ajouter une couche de protection supplémentaire. Le "sel" est un élément que l'on retrouve souvent dans les algo de hashage, dans le cas présent il s'agit d'une suite de 8 octets aléatoires (défini au moment du chiffrage) qui est utilisée de la même manière que le mot de passe sur le texte à chiffrer. Le salage est d'ailleurs contenu dans le résultat afin de pouvoir être déchiffré.

Pour ne pas saler le résultat, il faut utiliser l'argument -nosalt.

Exemple avec salage :
$ echo -n "lation" | openssl enc -des3 -pass pass:aaaa Salted__Ç♀Ó~∟*ô♣ð╗'♫☺FÎurì╗öÆ¨☻ý $ echo -n "lation" | openssl enc -des3 -pass pass:aaaa Salted__â)4ü‗FÅÕÞ¸("{î☻♠0Ç½Ã‗[Ów $ echo -n "lation" | openssl enc -des3 -pass pass:aaaa Salted__╬cÛ↓`0►©.╗1C£♥k┬Éf° ▓┴ ►

Exemple sans salage :
$ echo -n "lation" | openssl enc -nosalt -des3 -pass pass:aaaa h©*╝zZbÌÓÅïY9»[Q $ echo -n "lation" | openssl enc -nosalt -des3 -pass pass:aaaa h©*╝zZbÌÓÅïY9»[Q $ echo -n "lation" | openssl enc -nosalt -des3 -pass pass:aaaa h©*╝zZbÌÓÅïY9»[Q

Le prefix "Salted__" inique que l'on a faire à quelque chose de salé, les 8 octets suivant correspondent au sel utilisé.

Répondre

Tout à fait d'accord.

C'est pour cette raison que j'indique cet argument (-salt) dans la plupart des exemples que je cite.

Répondre

A mon avis, en tant que

A mon avis, en tant que débutant en informatique, il est difficile pour comprendre ces étapes. Je trouve qu'il est facile d'utiliser le logiciel de cryptage, comme truecrypt et file protector.

Répondre

Ce qui est expliqué ici, est

Ce qui est expliqué ici, est 100% lignes de commandes sous Linux ce qui permet d'automatiser le processus sans aucune intervention humaine.

Sinon, le logiciel TrueCrypt n'est plus maintenu et la dernière version disponible (7.2) ne permet plus de crypter mais seulement de décrypter.

Concernant file protector, c'est un tuto sous Windows.
Pour ma part, sous Windows, j'utilise le couple GPG4Win / Kleopatra qui permet de signer, crypter et décrypter des fichiers, des mails etc etc...

Répondre

désolé je suis psychorigide

https://chiffrer.info/

Répondre

Je corrige de ce pas

.

Répondre

openssl : Clé de contrôle MD5 ou SHA1 d'un fichier

Par ronan, 10 avril, 2013

Pour afficher la clé de contrôle d'un fichier, il suffit d'utiliser la sous-commande dgst suivi de l'algorithme voulu.

$ openssl dgst -md5 /var/log/syslog
MD5(/var/log/syslog)= 16973fc98773afeea8b0c9c3be3ab677
$ openssl dgst -sha1 /var/log/syslog
SHA1(/var/log/syslog)= 3b0634f6793d5ed1a6260a585ea92d22badc2070

Il existe également une commande propre à chaque algorithme et qui retourne le même résultat :

$ md5sum /var/log/syslog
16973fc98773afeea8b0c9c3be3ab677  /var/log/syslog
$ sha1sum /var/log/syslog
3b0634f6793d5ed1a6260a585ea92d22badc2070  /var/log/syslog

Il est possible également de signer la clé de contrôle d'un fichier à l'aide d'une clé privée afin d'éviter toute modification sans permission :

Génération du fichier syslog.sha1 contenant la clé de contrôle et sécurisé par une clé privée (mykey2.pem).

Cliquez ici pour la génération des clés.

$ openssl dgst -sha1 -sign mykey2.pem -out syslog.sha1 /var/log/syslog

Il ne faut pas oublier de distribuer avec le fichier contenant la clé de contrôle (syslog.sha1) le fichier contenant la clé publique correspondant à la clé privée utilisée (pubkey.pem).

Par contre, ce qu'il ne faut surtout pas faire : distribuer sa clé privée (mykey2.pem).
Il faut la garder bien au chaud dans un endroit bien secret.

Pour la vérification de la clé de contrôle sécurisée, il suffit d'utiliser la commande suivante en y indiquant la clé publique correspondante à la clé privée utilisée lors de la génération de la clé de contrôle sécurisée.

$ openssl dgst -sha1 -verify pubkey.pem -signature syslog.sha1 /var/log/syslog
Verified OK

Etiquettes

openssl

md5sum

sha1sum

openssl : Exporter ou importer un certificat au format PKCS#12

Par ronan, 9 avril, 2013

Pour exporter un certificat PEM au format PKCS#12 :

1 - Générer le certificat au format PEM (sans mot de passe grâce à l'option -nodes):

$ openssl req -x509 -nodes -days 365 -subj '/C=FR/ST=Loire Atlantique/L=Ancenis/CN=www.monsite.fr/emailAddress=toto@gmail.com' -newkey rsa:1024 -keyout mycert.pem -out mycert.pem
Generating a 1024 bit RSA private key
...........++++++
............++++++
writing new private key to 'mycert.pem'
-----

2 - Exporter le certificat au format PKCS#12 :

Il est important d'avoir dans le même fichier la clé privée et le certificat

$ openssl pkcs12 -export -out mycert.pfx -in mycert.pem -name "My Certificate"

Renseigner un phrase de passe.

Convertir un certificat PKCS#12 au format PEM (sans mot de passe grâce à l'option -nodes) :

$ openssl pkcs12 -in mycert.pfx -out mycert2.pem -nodes

Saisir la phrase de passe si nécessaire (si la version pfx est protégée par un mot de passe).

Pour protéger la clé privée à l'aide d'une phrase de passe (il suffit d'enlever l'option -nodes) :

$ openssl pkcs12 -in mycert.pfx -out mycert2.pem

La saisie d'une phrase de passe pour la protection de la clé privée est obligatoire.

Etiquettes

openssl

openssl : Extraire les informations d'un certificat

Par ronan, 20 mars, 2024

La commande suivante affiche toutes les informations du certificat indiqué :

$ openssl x509 -text -in mycert.pem

Qui a émis le certificat ?

$ openssl x509 -noout -in mycert.pem -issuer 
issuer= /C=FR/ST=Loire Atlantique/L=Ancenis/CN=www.monsite.fr/emailAddress=toto@gmail.com

Pour qui a-t-il été émis ?

$ openssl x509 -noout -in mycert.pem -subject 
subject= /C=FR/ST=Loire Atlantique/L=Ancenis/CN=www.monsite.fr/emailAddress=toto@gmail.com

Quelle est sa période de validité ?

$ openssl x509 -noout -in mycert.pem -dates 
notBefore=Apr  9 15:28:28 2013 GMT notAfter=Apr  9 15:28:28 2014 GMT

Toutes les infos précédentes :

$ openssl x509 -noout -in mycert.pem -issuer -subject -dates 
issuer= /C=FR/ST=Loire Atlantique/L=Ancenis/CN=www.monsite.fr/emailAddress=toto@gmail.com subject= /C=FR/ST=Loire Atlantique/L=Ancenis/CN=www.monsite.fr/emailAddress=toto@gmail.com notBefore=Apr  9 15:28:28 2013 GMT notAfter=Apr  9 15:28:28 2014 GMT

Quelle est sa valeur de hachage ?

$ openssl x509 -noout -in mycert.pem -hash 
bf163efd

Quelle est son empreinte MD5 ?

$ openssl x509 -noout -in mycert.pem -fingerprint 
SHA1 Fingerprint=C1:CD:DD:29:D1:8D:23:63:6D:3F:71:AD:7E:29:DE:26:FF:D4:11:17

Et à partir d'un certificat d'un site internet (plus de détail openssl : Récupérer un certificat distant)

$ echo | openssl s_client -connect quennec.fr:443 2>&1 | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' | openssl x509 -text -noout 
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            06:25:88:6d:14:fd:3c:f6:8c:b0:5d:c8:e1:72:85:1f:91:9b
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: C = US, O = Let's Encrypt, CN = R10
        Validity
            Not Before: Mar 24 07:04:12 2025 GMT
            Not After : Jun 22 07:04:11 2025 GMT
        Subject: CN = quennec.fr
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:92:99:4e:a7:eb:f9:90:3b:fa:2b:61:be:7b:a1:
                    30:e4:67:b5:c7:b3:26:9d:fd:46:46:0a:48:b5:43:
                    e8:86:98:0e:4b:ac:5f:32:e2:5b:33:34:57:18:5d:
                    b6:e9:a7:b1:3a:ce:f3:bc:38:31:72:0c:c1:91:24:
                    8a:0a:a3:3c:40:cc:55:45:ef:9d:6d:6b:db:7e:c5:
                    59:63:17:98:69:7e:46:7e:08:74:59:26:88:b9:1a:
                    d6:24:3e:0a:2b:e9:dd:b2:3a:59:c0:ab:59:91:c6:
                    5c:59:b6:fe:8a:7d:d8:af:32:e7:ab:ad:44:b6:eb:
                    e0:50:a4:ab:6c:0c:44:62:4e:20:b4:76:09:4c:64:
                    c4:70:aa:91:63:b3:4b:34:67:74:ba:dd:85:b7:4c:
                    24:1e:a3:68:2c:c9:ba:c2:3a:f4:d9:72:58:ad:2f:
                    4e:81:3d:2c:9c:f8:e0:ab:d8:32:1b:3f:bf:69:c9:
                    01:4e:05:6a:8e:7e:2b:93:45:d0:2e:3e:95:c8:6e:
                    70:22:b3:36:aa:77:11:e6:cd:34:56:4e:0e:9f:b0:
                    87:c8:e4:3a:62:f7:db:88:5e:f8:17:5d:69:c0:8d:
                    8e:ef:f2:89:b9:24:25:72:c4:da:46:8f:3e:7c:6f:
                    60:66:f5:7a:48:71:07:bf:17:7c:af:83:65:35:dc:
                    a7:ff
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Extended Key Usage: 
                TLS Web Server Authentication, TLS Web Client Authentication
            X509v3 Basic Constraints: critical
                CA:FALSE
            X509v3 Subject Key Identifier: 
                AC:FA:7E:33:43:2A:AB:BC:A3:72:B6:67:84:50:49:6D:DB:B1:31:8B
            X509v3 Authority Key Identifier: 
                BB:BC:C3:47:A5:E4:BC:A9:C6:C3:A4:72:0C:10:8D:A2:35:E1:C8:E8
            Authority Information Access: 
                OCSP - URI:http://r10.o.lencr.org
                CA Issuers - URI:http://r10.i.lencr.org/
            X509v3 Subject Alternative Name: 
                DNS:*.quennec.fr, DNS:quennec.fr
            X509v3 Certificate Policies: 
                Policy: 2.23.140.1.2.1
            X509v3 CRL Distribution Points: 
                Full Name:
                  URI:http://r10.c.lencr.org/28.crl
            CT Precertificate SCTs: 
                Signed Certificate Timestamp:
                    Version   : v1 (0x0)
                    Log ID    : A2:E3:0A:E4:45:EF:BD:AD:9B:7E:38:ED:47:67:77:53:
                                D7:82:5B:84:94:D7:2B:5E:1B:2C:C4:B9:50:A4:47:E7
                    Timestamp : Mar 24 08:02:42.415 2025 GMT
                    Extensions: none
                    Signature : ecdsa-with-SHA256
                                30:45:02:21:00:EA:28:0B:64:B1:10:BB:B1:84:B2:BB:
                                87:EF:1B:79:EB:70:AD:5F:59:2D:7A:60:FA:41:EE:1B:
                                59:DB:9B:C3:EC:02:20:2B:14:53:76:D5:82:9C:00:0C:
                                57:C4:9D:0A:B9:69:AF:31:72:E0:96:B8:93:E2:D7:AE:
                                63:0D:29:98:9D:25:35
                Signed Certificate Timestamp:
                    Version   : v1 (0x0)
                    Log ID    : CF:11:56:EE:D5:2E:7C:AF:F3:87:5B:D9:69:2E:9B:E9:
                                1A:71:67:4A:B0:17:EC:AC:01:D2:5B:77:CE:CC:3B:08
                    Timestamp : Mar 24 08:02:44.496 2025 GMT
                    Extensions: none
                    Signature : ecdsa-with-SHA256
                                30:45:02:20:34:F2:55:44:63:E9:83:B8:0B:80:3A:2F:
                                23:CB:40:D2:13:CB:65:1D:66:06:36:A6:D5:8A:24:72:
                                62:29:F0:08:02:21:00:81:46:1B:93:9B:A8:86:DC:1D:
                                F7:BD:CC:A9:B3:89:2A:89:91:FF:E0:B3:B7:EA:4C:E3:
                                CD:4F:75:C2:58:57:1D
    Signature Algorithm: sha256WithRSAEncryption
    Signature Value:
        0d:e4:74:86:17:9b:cc:4e:c8:ff:a4:e2:79:4a:1a:f1:c8:a2:
        6b:e4:b8:7b:9e:35:4e:04:52:91:2a:23:51:d7:a9:73:c7:7c:
        84:1e:79:5c:0e:4f:4b:22:d0:84:76:8f:6a:5b:fb:f9:10:d7:
        94:7e:d9:2b:b3:02:cc:e7:ac:1b:30:11:59:66:33:3f:fa:77:
        be:c4:ea:df:98:c5:38:87:7a:f9:65:f0:80:0a:2b:85:72:e3:
        5b:69:fd:fb:37:84:73:9c:3c:8b:7d:f3:df:b9:62:de:b0:e0:
        b9:c0:83:8c:fe:e8:6b:dd:9b:30:d5:74:84:fe:21:e2:1d:31:
        41:56:01:15:33:67:39:4a:7e:ff:fe:87:45:7c:d6:30:ae:df:
        f3:f4:f2:13:a5:80:2b:0e:b2:35:a3:a4:da:11:73:6f:6f:ea:
        ac:74:ee:6e:c2:b4:ae:82:cc:53:33:e6:50:cf:c6:80:d1:f4:
        4c:81:df:b6:eb:ca:63:93:09:d7:d9:df:3a:b4:66:23:e2:4e:
        b1:c0:86:3b:c9:bf:cd:94:41:db:b9:4b:5f:d7:4c:1d:b2:20:
        8b:c0:c1:ca:0c:d7:26:d2:92:ab:b1:34:45:92:00:e1:e8:4f:
        40:0d:58:00:2b:d0:01:0b:1c:fb:b5:4f:92:94:4f:1c:2b:3a:
        ec:e9:b6:cf

Etiquettes

openssl

certificat

openssl : Générer des clés

Par ronan, 11 avril, 2013

De nos jours, il est conseillé de générer des clés d'une longueur de 4096 bits pour une meilleure sécurité.

Pour un serveur Apache (configuration SSL), il est conseillé de générer des clés sans phrase de passe. Dans le cas contraire, à chaque démarrage du service Apache, la phrase de passe sera demandée.

Avec OpenSSL, la clé privée contient également les informations de la clé publique. Il n'est donc pas nécessaire de générer la clé publique séparément.

Génération d'une clé RSA

Générer une clé simple :

$ openssl genrsa

Générer une clé de 2048 bits et la sauvegarder dans un fichier :

$ openssl genrsa -out mykey.pem 4096

Idem mais avec un cryptage DES3 et une phrase de passe :

$ openssl genrsa -des3 -out mykey.pem 4096

Génération d'une clé publique RSA

$ openssl rsa -in mykey.pem -pubout

Génération d'une clé DSA

Les clés DSA sont utilisées pour la signature d'objets divers.

Le processus de génération se déroule en deux étapes.

Premièrement, générer les paramètres permettant la génération de la clé :

$ openssl dsaparam -out dsaparam.pem 4096

Puis, générer la clé en fonction des paramètres générés ci-dessus :

$ openssl gendsa -des3 -out privkey.pem dsaparam.pem

Une phrase de passe est demandée lors de la génération de la clé DSA.

Pour ne pas avoir de phrase de passe, il suffit de supprimer le paramètre "-des3".

Supprimer la phrase de passe d'une clé privée RSA

Cette commande permet de générer une nouvelle clé privée (newkey.pem) à partir de celle protégée par une phrase de passe (mykey.pem).

$ openssl rsa -in mykey.pem -out newkey.pem

Supprimer la phrase de passe d'un certificat

Pour l'exemple, nous allons créer un certificat crypté (mycert.pem).
Ce fichier (mycert.pem) contiendra la clé privée et le certificat public et sera protégé par une phrase de passe.

$ openssl req -x509 -days 365 -subj '/C=FR/ST=Loire Atlantique/L=Ancenis/CN=www.monsite.fr/emailAddress=toto@gmail.com' -newkey rsa:2048-keyout mycert.pem -out mycert.pem

Le décryptage du certificat se déroule en deux étapes :

Génération de la clé privée à partir du certificat crypté (mycert.pem) vers le nouveau certificat (newcert.pem) :

$ openssl rsa -in mycert.pem -out newcert.pem

Ajout du certificat public dans le nouveau certificat (newcert.pem) :

$ openssl x509 -in mycert.pem >>newcert.pem

Etiquettes

openssl

Bonjour.

Bonjour.
J'ai un fichier.pem qui est une clé publique RSA . Je n'arrive pas à l'ouvrir avec la commande
openssl rsa -in fichier.pem -noot -text -pubin .
Merci pour votre aide

Répondre

Bonjour,

Envoyez moi le fichier en question via https://send.firefox.com/

Je vais essayer de voir ce qui ne va pas

Répondre

Problème lors de la création de mycert.pem

Bonjour, merci beaucoup pour votre tuto, j'ai essayé de le faire mais je bloque quand j'arrive à l'étape de la création de "newcert.pem" il me dit que "mycert.pem" n'existe pas, comme si elle n'a pas été générer dans l'étape précédente, si vous pouviez m'aider. merci beaucoup.

Répondre

Bonjour Melinda

Quelle est la commande qui provoque cette erreur ?
N'hésitez pas à utiliser le formulaire de contact

Répondre

openssl : Générer des données aléatoires

Par ronan, 18 janvier, 2023

Générer une chaine aléatoire de 128 octets encodée en BASE64 :

$ openssl rand -base64 128
2/X1yDvXHdAsDYPBmToCNYFI9Vjhtt4ynVMFCcMfV0jJm+EytH22MEyMs7XV4rbB
6CdddwCD0T3sYu7hCF+Q5Dy72S3LKhZL5cbB8gaf2l+Guv/GCU/oiYTezRwLsAaN
82Sig1bnsyJeI3q67PsLS2yUhWTXiyRxv6/69EL/i30=

Générer une chaine aléatoire de 16 octets encodée en HEX :

$ openssl rand -hex 16
e114c246088060ef2af0b4f4f518b875

Générer un fichier binaire de 1024 octets :

$ openssl rand -out random-data.bin 1024
$ ls -l random-data.bin
-rw-r--r-- 1 root root 1024 Apr 11 18:21 random-data.bin

Générer une chaine aléatoire de 64 octets en utilisant le fichier spécial /dev/urandom et encodée avec la commande openssl en BASE64 :

$ head -c 64 /dev/urandom | openssl enc -base64
3wZ9RXe5bwCKzfEUElHOEJNb97SNN7QfKetKdSfAXvNhaiyCwWBWBEJupPAM2K/Q
6zx09thfwss2ffCGvencfg==

Un petit enchainement de commandes permettant de générer des mots de passe aléatoires :

$ echo $(head -c 32 /dev/urandom | strings -1) | sed 's/[[:space:]]//g'
18EC2Wl1-W

Générer un fichier d'une taille aléatoire comprise entre 0 et 50 Mo à l'aide de la fonction interne $RANDOM (50 Mo = 1024*1024*50):

$ openssl rand -out random-data.txt $(($RANDOM * 1024 * 1024 * 50 / 32767))

La fonction interne $RANDOM génère un nombre aléatoire compris entre 0 et 32767.

Générer un fichier texte de 10Mo

$ openssl rand -hex $((1024*1024*5)) > 10mbFile

1 byte étant égal à 2 caractères hexadécimal, il faut donc penser à diviser par 2 la taille du fichier désiré.

Etiquettes

openssl

openssl : Générer des mots de passe cryptés

Par ronan, 11 avril, 2013

Crypter simplement un mot de passe :

$ openssl passwd MyPasswd
hMTFVzaMHJcaA

Le mot de passe à crypter ne peut excéder 8 caractères.

Ajouter un "salt" au mot de passe à crypter (mot de passe salé ;o) :

$ openssl passwd -salt 12 MyPasswd
12q97u.MW0POc

Dans ce cas précis, le "salt" ne doit pas excéder 2 caractères.

Crypter un mot de passe avec l'algorithme MD5 :

$ openssl passwd -1 MyPasswd
$1$339eK0sF$MCPIqzRKLIWsKG1kXnQiw1

Pas de limitation au niveau de la longueur du mot de passe.

Idem mais en ajoutant un "salt" :

$ openssl passwd -1 -salt 12345678 MyPasswd
$1$12345678$I3fjXxePlXzjbz7gjOzwW0

Dans ce cas, le "salt" ne doit pas excéder 8 caractères.

Idem, mais avec un "salt" généré aléatoirement :

$ openssl passwd -1 -salt $(openssl rand -base64 8) MyPasswd
$1$nSQ9OINA$1a2pvpNHjYo41N0n6FqbQ.

Etiquettes

openssl

openssl : Générer un certificat auto-signé

Par ronan, 17 décembre, 2025

Par défaut, OpenSSL utilise le fichier de configuration "/etc/ssl/openssl.cnf" pour la génération des certificats.

Pour utiliser un fichier de configuration personnalisé, il suffit d'ajouter l'argument "-config {fichier_de_configuration_personnalisé}" à la commande openssl.

Avant de pouvoir générer un certificat, il faut obligatoirement générer une clé RSA ou DSA.

Tout est expliqué ici.

Dans les exemples suivants, la clé privée "mykey.pem" sera utilisée pour la génération des certificats.

Création d'une autorité de certification (permettant de signer les demandes de certificats)

Pour générer ses propres certificats, sans passer par une autorité de certification externe :

$ openssl genrsa -out mykey.pem 4096
$ openssl req -new -x509 -key mykey.pem -out ca.crt -days 1095 -subj "/CN=Ma-Super-CA"

On indique pour le paramètre "-out" le nom de l'autorité de certification à générer puis la durée de validité en jour avec le paramètre "-days"
Cette autorité de certification permettra de signer les futures demandes de certificats auto-signés.
Cette génération est à faire une seule fois.
Le Common Name à indiquer (-subj "/CN=...") ne doit correspondre à aucun nom de domaine ayant besoin d'un certificat.
Cette autorité de certification peut-être mis à disposition du public afin d'être intégré dans les différents navigateurs comme étant une autorité de certification reconnue.

Création d'une demande de certificat

Une demande de certificat peut être utilisée sur un site comme http://www.cacert.org/ afin d'obtenir un certificat reconnu par une autorité de certification ou afin d'être signé par le certificat ca.crt généré ci-dessus.

Dans le cas où cette demande devrait être signée par notre propre autorité de certification (générée ci-dessus), il est nécessaire d'utiliser une autre clé privée propre au serveur qui utilisera le certificat final. En effet la clé privée utilisée pour créer l'autorité de certification est exclusive à l'autorité de certification.

$ openssl genrsa -out mondomaine.key 4096
$ openssl req -new -key mondomaine.key -out mondomaine.csr -subj "/CN=mon-site.fr" -addext "subjectAltName=DNS:mon-site.fr"

La demande "mondomaine.csr" peut ensuite être transmise à l'autorité de certification qui fournira par la suite le certificat résultant.
Le Common Name à indiquer (-subj "/CN=...") doit correspondre au nom de domaine pour lequel vous souhaitez un certificat.
Depuis quelques années maintenant, le subjectAltName doit être obligatoirement renseigné et correspondre exactement à tous les noms DNS utilisés par le certificat.

Il est tout à fait possible d'utiliser la même clé (mondomaine.key) pour générer plusieurs demandes de certificats (csr)

La commande suivante permet de vérifier les informations de la csr

$ openssl req -text -noout -in mondomaine.csr

Génération du certificat final

A l'aide de l'autorité de certification générée au tout début (ca.crt) et de sa propre clé privée, nous allons générer le certificat correspondant à la demande (mondomain.csr) générée ci-dessus.

$ openssl x509 -req -in mondomaine.csr -out mondomaine.pem -CA ca.crt -CAkey mykey.pem -CAcreateserial -CAserial ca.srl -days 90

L'option -CAcreateserial est à utiliser seulement la première fois.
Ceci va générer un identifiant (ca.srl).
Lors des prochaines certification (pour renouvellement ou pour d'autres domaines) l'identifiant, contenu dans le fichier ca.srl, sera incrémenté à l'aide de l'option -CAserial ca.srl

Et sinon, pour tout faire d'un coup clé et certificat ainsi que toutes les infos du certificat:

$ openssl req -x509 -nodes -days 365 \
-newkey rsa:4096 -keyout ma_cle.key -out mon_certificat.crt \
-subj "/C=FR/ST=Pays de la Loire/L=Cholet/CN=mon certificat/emailAddress=bar@foo.fr" \
-addext "subjectAltName=DNS:mon-domaine.fr,DNS:www.mon-domaine.fr,IP:1.2.3.4"

La commande ci-dessus va donc générer une nouvelle clé (ma_cle.key) sans mot de passe (-nodes), un certificat valable 365 jours et contenant les infos renseignées avec les options -subj et -addext.
Avec l'option -addext, il est possible d'indiquer tous les noms DNS valables pour le certificat et les adresses IP si besoin.

Etiquettes

openssl

Création d'un certificat auto-signé sous windows

Bonjour,
Super votre blog !
Voici une alternative plus simple que Open SSL pour créer des certificats auto-signés sous windows (Interface graphique français/anglais): Itiverba Self Signed Certificat Generator

Répondre

Merci ...

... beaucoup pour le compliment.
Effectivement, la solution Itiverba semble intéressante.
Merci pour le partage d'information.

Répondre

openssl : Générer une authentification Apache

Par ronan, 10 avril, 2013

Avec Apache, il est possible d'utiliser des fichiers d'authentification pour protéger des répertoires web.

Pour générer ces fichiers d'authentification, il est nécessaire d'utiliser la commande htdigest.

La commande htdigest inscrit les données d'authentification obligatoirement dans un fichier.

Pour afficher ces mêmes informations mais uniquement sur la sortie standard (pour x raisons) il est nécessaire d'utiliser la commande openssl.

Voici un script qui permet de saisir les informations d'authentification et affiche le résultat sur la sortie standard :

$ cat htdigest.sh
#!/bin/bash
 
echo "Creation d'une authentification Apache"
echo "-----------------------------------------------"
 
read -p "Votre nom : " NAME
read -p "Apache AuthName: " AUTHNAME
read -s -p "Votre mot de passe : " PASS; echo
 
printf "%s:%s:%s\n" \
  "$NAME" \
  "$AUTHNAME" \
  $(printf "${NAME}:${AUTHNAME}:${PASS}" | openssl dgst -md5)
 
exit 0

Exécution du script :

$ ./htdigest.sh
Creation d'une authentification Apache
-----------------------------------------------
Votre nom : toto
Apache AuthName: monSite
Votre mot de passe :
toto:monSite:ffdcd4a53fb7dd716ec2d017e93bc563

Etiquettes

openssl

htdigest

openssl : Les nombres premiers

Par ronan, 11 avril, 2013

OpenSSL possède une sous-commande qui permet de tester si le nombre passé en paramètre est un nombre premier.

$ openssl prime 2
2 is prime
$ openssl prime 3
3 is prime
$ openssl prime 4
4 is not prime
$ openssl prime 11
B is prime

Le résultat est retourné sous forme hexadécimale.

En ajoutant l'option "-hex", il est possible de tester une chaine hexadécimale :

$ openssl prime 449
1C1 is prime

La représentation hexadécimale du nombre 449 est donc 1C1

$ openssl prime -hex 1C1
1C1 is prime

En prime, un petit enchainement de commandes permettant d'obtenir la liste des 168 nombres premiers inférieurs à 1000.

$ for i in $(seq 0 1000); do result=$(openssl prime $i) ; echo $result | grep  -q "is prime$" ; if [[ $? -eq 0 ]] ; then echo $i ; fi ; done | column -x
2       3       5       7       11      13      17      19      23      29      31      37      41      43      47      53
59      61      67      71      73      79      83      89      97      101     103     107     109     113     127     131
137     139     149     151     157     163     167     173     179     181     191     193     197     199     211     223
227     229     233     239     241     251     257     263     269     271     277     281     283     293     307     311
313     317     331     337     347     349     353     359     367     373     379     383     389     397     401     409
419     421     431     433     439     443     449     457     461     463     467     479     487     491     499     503
509     521     523     541     547     557     563     569     571     577     587     593     599     601     607     613
617     619     631     641     643     647     653     659     661     673     677     683     691     701     709     719
727     733     739     743     751     757     761     769     773     787     797     809     811     821     823     827
829     839     853     857     859     863     877     881     883     887     907     911     919     929     937     941
947     953     967     971     977     983     991     997

Etiquettes

openssl

openssl : Récupérer un certificat distant

Par ronan, 20 mars, 2024

Le script suivant permet de récupérer le contenu du certificat du site indiqué en paramètre (le port est facultatif, par défaut le port 443 est utilisé).

$ cat getCertificates.sh
#!/bin/sh
 
HOST=$1
PORT=${2:-443}
 
echo | \
openssl s_client -connect ${HOST}:${PORT} 2>&1 | \
sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p'
 
exit 0
$

On l'exécute en lui indiquant en paramètre le nom du site et le port (facultatif).

$ ./getCertificates.sh youtube.fr 443
-----BEGIN CERTIFICATE-----
MIIF/DCCBWWgAwIBAgIKKZeNqAABAACBuDANBgkqhkiG9w0BAQUFADBGMQswCQYD
VQQGEwJVUzETMBEGA1UEChMKR29vZ2xlIEluYzEiMCAGA1UEAxMZR29vZ2xlIElu
...
Xl7/nc7F5HgE0c+bGsAYuCoYBsDNYs8/AUTnSTeih8U9mSRRDFb9NxMkQqUWPSXO
sh4FktaXQJBJRi4IAfuUDk28c9A0Bv1ygO3FqiSu6QJ3axESCoGmF26XqDwvJtFq
-----END CERTIFICATE-----

et le certificat s'affiche à l'écran.

Voir également CURL: Afficher les informations SSL d'un domaine

Voir également openssl : Extraire les informations d'un certificat

Etiquettes

openssl

certificat

quitter après 2 secondes

Mes 2 centimes pour améliorer ce script:

retrouver la source :)
quitter après X secondes

#!/bin/sh # src: https://www.quennec.fr/trucs-astuces/syst%C3%A8mes/gnulinux/commandes/openssl/openssl-r%C3%A9cup%C3%A9rer-un-certificat-distant

HOST=$1
PORT=${2:-443}

echo | \
openssl s_client -connect ${HOST}:${PORT} 2>&1 | \
sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' &

CONNECTPID=$!
sleep 2
kill $CONNECTPID

exit 0

Répondre

quitter après 2 secondes

Bonjour
Ma version précédente ne reportait pas le stdout au process parent
Voici une version améliorée du script.
Je la poste également sur gist: https://gist.github.com/boly38/24ed3f434cbace2bf8c90ff72f782593

#!/bin/sh # source d'origine: src: https://www.quennec.fr/trucs-astuces/syst%C3%A8mes/gnulinux/commandes/openssl/openssl-r%C3%A9cup%C3%A9rer-un-certificat-distant # améliorations: # - quitter après 2 secondes # - report du stdout

HOST=$1
PORT=${2:-443}

openssl s_client -connect ${HOST}:${PORT} > .workout &
CONNECTPID=$!
sleep 2
kill $CONNECTPID
# prevent output from kill
wait $CONNECTPID 2>/dev/null

cat .workout | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p'
rm .workout

exit 0

Répondre

et avec une petite redirection ...

... en cas d'erreur vers /dev/null pour la commande kill

kill $CONNECTPID  2>/dev/null

Répondre

Merci

Hello encore une fois tu me sauves la mise.
Bonne continuation
Jean-Marc Henry

Répondre

openssl: Générer une paire de clé et une demande de certificat CSR

Par ronan, 25 mai, 2023

Voici une commande permettant de générer, en une seule fois, une paire de clé (publique/privée) et une demande de certificat CSR afin d'obtenir, auprès de cacert.org par exemple, un certificat X509 associant votre clé publique générée et le nom de domaine que vous souhaitez protéger avec TLS.

$ openssl req -nodes -newkey rsa:2048 -sha256 -keyout ma_cle.key -out ma_demande.csr

Avec cette commande, nous allons créer une clé RSA de 2048 bits.

Les autres arguments de la ligne de commandes indiquent que la clé privée sera stockée dans le fichier ma_cle.key et la demande CSR sera stockée dans le fichier ma_demande.csr.

Une série de questions vous est posée.
Les deux questions les plus importantes sont celles correspondantes au common name et à l'adresse mail de contact.

Ne renseignez surtout pas de mot de passe sinon il vous sera demandé à chaque démarrage du serveur web.
Un peu contraignant lors de tâches de maintenance automatisées.

Pour vérifier la demande CSR:

$ openssl req -text -noout -verify -in ma_demande.csr

Reste à transmettre à l'autorité de certification (cacert.org par exemple - certificat gratuit) la demande CSR.

Etiquettes

openssl: connexion SMTP avec TLS

Par ronan, 9 novembre, 2016

Il est possible d'utiliser la commande openssl pour se connecter à un serveur STMP en utilisant la sécurité TLS,

Dans l'exemple suivant, l'option -CAfile /etc/ssl/certs/ca-certificates.crt permet d'indiquer l'autorité de certification dans le cas d'un certificat auto signé.

# openssl s_client -starttls smtp -crlf -CAfile /etc/ssl/certs/ca-certificates.crt -connect smtp.server.fr:25

CONNECTED(00000003)
depth=0 CN = localhost.localdomain
verify return:1
---
Certificate chain
 0 s:/CN=localhost.localdomain
   i:/CN=localhost.localdomain
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIBtzCCASACCQCupdgFIYzFVDANBgkqhkiG9w0BAQUFADAgMR4w
b2NhbGhvaW4wHhcNMTEwNDI2MTkxMDM1WhcNMjEwNDIzMTkx
MDM1WjAgMR4wHAYDVQQDExVsb2NhbGhvc3QubG9jYWxkb21ha
hvcNAQEBBQADgY0AMIGJZS3OcCHjbQNa++F/J4WGFk6r7ICl9Ls0
ybT+1CzbFG1xE71NeRhbHkLGigZa5422afsqq/b3LBIpMX17B/gtuo+
QKRckuo+20BUqHFye7ZAVXSsw+bqmm9D0vB4uw9IwyE75jEAqU1
QX7RAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAe1iHUXoGSTj3Fv3
2Yg1EFtNm/RSYxdHV8jY6W6CtwNatN+EQqmWlfhtOSCWgXriUjX5
E4uEocf6x/vDrVkpU11u+0xDUYshmrLyk2nmX6wbopwQttAE9PLw
ahQBiuj+sz38OW8=
-----END CERTIFICATE-----
subject=/CN=localhost.localdomain
issuer=/CN=localhost.localdomain
---
No client certificate CA names sent
---
SSL handshake has read 1021 bytes and written 456 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 1024 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: D2A784125E749B8C74015978412B9B6E47DDA37BFB83FD4FEE8E6ED21BE79C92
    Session-ID-ctx:
    Master-Key: 631649B5A6A2F5272137C421AFB2F2E86CD483ED2FE8099BCDC9068A11EE7087F
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1478726847
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
---
250 DSN
mail from: one@mail.fr
250 2.1.0 Ok
rcpt to: two@mail.fr
250 2.1.5 Ok
data
354 End data with <CR><LF>.<CR><LF>
from: one@mail.fr
to: two@mail.fr
subject: send mail with TLS connection

Voluptatem veniam quasi nisi voluptatum incidunt autem. Sed provident minus ab temporibus sed. Quia blanditiis consequatur assumenda aut hic. Minima cum qui quidem dicta velit quod voluptas. Dolorem aliquam animi consequatur.

Minima alias sint libero et. Et et in ratione similique iusto aut consectetur. Sed voluptatibus modi fuga ut quibusdam ut consectetur voluptas.
.
250 2.0.0 Ok: queued as 145A53700157
quit
221 2.0.0 Bye
closed

Très utile pour tester un serveur STMP

Etiquettes