RDIG Certification authority
сертификаты
пользователю
информация

Просмотр содержимого сертификата

Пусть сертификат содержится в файле cert.pem. Просмотреть его содержимое можно командой 

openssl x509 -in cert.pem -noout -text
Вам будет выдана вся информация о полях сертификата. Вот описание основных полей:
  • Serial Number — серийный номер сертификата. Он уникален в пределах данного Certification Authority.
  • Issuer — идентификатор объекта, который подписал данный сертификат. Вместе с Serial Number составляет глобально уникальный идентификатор сертификата.
  • Subject — идентификатор объекта, владеющего сертификатом.
  • Validity — дата и время, с которого сертификат является действительным, и дата и время, по которое сертификат является действительным. Дата и время обычно указываются относительно Greenvich Meridian Time.

Более подробную информацию можно получить командой man x509.

Изменение пароля закрытого ключа

Если ваш закрытый ключ хранится в файле privkey.pem, а вы хотите получить файл newkey.pem с другим паролем, вам поможет команда 

openssl rsa -in privkey.pem -des3 -out newkey.pem
Вначале вам необходимо ввести текущий пароль, а затем — дважды новый пароль.

Более подробную информацию можно получить командой man rsa.

Преобразование сертификата в формат PKCS#12

Формат PKCS#12 — это другой формат хранения вашей ключевой пары, который распознаётся многими броузерами и почтовыми агентами. В файлах PKCS#12 (в зашифрованном виде) хранятся и сертификат, и закрытый ключ, поэтому с этими файлами необходимо быть столь же осторожными, как и с закрытым ключом.

Итак, пусть вы хотите создать файл cert.p12 используя файл сертификата cert.pem и файл закрытого ключа privkey.pem. Это делается командой 

openssl pkcs12 -export -in cert.pem -inkey privkey.pem -name "My Certificate" \
-out cert.p12
Здесь ключ -name задаёт идентификатор вашего сертификата — строку, которая будет отображаться пользовательской программой. Вначале вас попросят ввести текущий пароль закрытого ключа, а потом пароль к PKCS#12-файлу — дважды.

Более подробную информацию можно получить командой man pkcs12.

Работа с S/MIME сообщениями

S/MIME — это специальный формат для обмена зашифрованными и/или подписанными почтовыми сообщениями. Иногда требуется создавать, читать или проверять правильность таких сообщений средствами OpenSSL.

Предполагается, что ваш закрытый ключ находится в файле privkey.pem, сертификат — в файле cert.pem и сертификат Certification Authority — в файле cacert.pem.

Первый случай: мы хотим поставить цифровую подпись на почтовое сообщение не зашифровывая его. Пусть исходное сообщение находится в файле mail.txt, а полученное S/MIME сообщение нужно поместить в файл out.smime. Это делается командой 

openssl smime -sign -signer cert.pem -inkey privkey.pem -in mail.txt \
-out out.smime

Второй случай: мы хотим проверить подпись на пришедшем к нам S/MIME сообщении, находящемся в файле in.smime: 

openssl smime -verify -in in.smime -CAfile cacert.pem

Более подробную информацию можно получить командой man smime.

 Вопросы, предложения, пожелания? Пишите: rdig-ca-support[at]grid.kiae.ru