Operaciones con certificados OpenSSL

noviembre 29th, 2010. Publicado en Seguridad, Tutoriales. 1 Comentario. 1.263 Lecturas

Los certificados digitales tienen el propósito de lograr la autenticidad del usuario ante una entidad externa llamada Entidad Certificante o Autoridad Certificante y son ampliamente utilizados para acceder a algún tipo de servicio remoto o ralizar delicadas transacciones en la web. La herramienta OpenSSL provee lo necesario para utilizar este método.

Por lo general un certificado tiene la siguiente información:

• Nombre, dirección y domicilio del suscriptor.
• Identificación del suscriptor nombrado en el certificado.
• El nombre, la dirección y el lugar donde realiza actividades la entidad de certificación.
• La clave pública del usuario.
• La metodología para verificar la firma digital del suscriptor impuesta en el mensaje de datos.
• El número de serie del certificado.
• Fecha de emisión y expiración del certificado.

Las operaciones que se pueden realizar con la herramienta OpenSSL sobre certificados digitales son:

Verificar firma con llave pública:

openssl req -in newcert.req -noout -text

Ver información general:

openssl s_server -cert mycert.pem -www

Ver el emisor:

openssl x509 -noout -in cert.pem -issuer

Ver el propietario:

openssl x509 -noout -in cert.pem -subject

Ver período de validez:

openssl x509 -noout -in cert.pem -dates

Combinar opciones:

openssl x509 -noout -in cert.pem -issuer -subject -dates

Ver valor hash:

openssl x509 -noout -in cert.pem -hash

Ver MD5:

openssl x509 -noout -in cert.pem -fingerprint

Ver SHA1:

openssl x509 -sha1 -in cert.pem -noout -fingerprint

Ver contenido del certificado:

openssl x509 -in cert.pem -noout -text

Ver número de serie de un certificado:

openssl x509 -in cert.pem -noout -serial

Ver propietario del certificado en RFC2253:

openssl x509 -in cert.pem -noout -subject -nameopt RFC2253

Con UTF-8:

openssl x509 -in cert.pem -noout -subject -nameopt oneline,-escmsb

Verificar certificado:

openssl verify cert.pem