Le script suivant permet de récupérer le contenu du certificat du site indiqué en paramètre (le port est facultatif, par défaut le port 443 est utilisé).
$ cat getCertificates.sh
#!/bin/sh
HOST=$1
PORT=${2:-443}
echo | \
openssl s_client -connect ${HOST}:${PORT} 2>&1 | \
sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p'
exit 0
$On l'exécute en lui indiquant en paramètre le nom du site et le port (facultatif).
La commande suivante affiche toutes les informations du certificat indiqué :
$ openssl x509 -text -in mycert.pemQui a émis le certificat ?
$ openssl x509 -noout -in mycert.pem -issuer
issuer= /C=FR/ST=Loire Atlantique/L=Ancenis/CN=www.monsite.fr/emailAddress=toto@gmail.comPour qui a-t-il été émis ?
La commande curl est très utile pour afficher, tester etc... un site internet.
On peut également utiliser la commande curl pour afficher les informations SSL des sites internet.
Par exemple, avec mon site internet https://quennec.fr
Voici une commande permettant de générer, en une seule fois, une paire de clé (publique/privée) et une demande de certificat CSR afin d'obtenir, auprès de cacert.org par exemple, un certificat X509 associant votre clé publique générée et le nom de domaine que vous souhaitez protéger avec TLS.
$ openssl req -nodes -newkey rsa:2048 -sha256 -keyout ma_cle.key -out ma_demande.csrAvec cette commande, nous allons créer une clé RSA de 2048 bits.
Générer une chaine aléatoire de 128 octets encodée en BASE64 :
$ openssl rand -base64 128
2/X1yDvXHdAsDYPBmToCNYFI9Vjhtt4ynVMFCcMfV0jJm+EytH22MEyMs7XV4rbB
6CdddwCD0T3sYu7hCF+Q5Dy72S3LKhZL5cbB8gaf2l+Guv/GCU/oiYTezRwLsAaN
82Sig1bnsyJeI3q67PsLS2yUhWTXiyRxv6/69EL/i30=Générer une chaine aléatoire de 16 octets encodée en HEX :
$ openssl rand -hex 16
e114c246088060ef2af0b4f4f518b875Générer un fichier binaire de 1024 octets :