Каталог расширений

Популярные теги

3gp       avi       fb2       jpg       mp3       pdf      

Как извлечь файл сертификата эцп


Как извлечь сертификат из контейнера закрытого ключа?

Публикация: 19 Октябрь 2010 - 15:57, редакция: 18.01.2011 12:31

Как правило, после выпуска сертификата открытого ключа, он помещается в ключевой контейнер, и его можно извлечь из контейнера средствами КриптоПро CSP. Для этого необходимо выполнить следующие действия:
1. Перейти в Панель управления (ПУСК – Панель управления) найдите и запустить КриптоПро CSP.
2. На вкладке сервис выбрать «Просмотреть сертификат в контейнере».
3. Выбрать нужный контейнер и нажать «Далее». Если в контейнере присутствует сертификат, то отобразится информация о нём.
4. Нажать «Свойства». Откроется сам сертификат.
5. Перейти на вкладку «Состав». Нажать кнопку «Копировать в файл».
6. Выбрать варианты: «Нет, не экспортировать закрытый ключ» и «Файл в DER-кодировке X509» (.CER)
7. Указать путь для сохранения файла сертификата.

***При выполнении пункта 3 может появиться информационное сообщение: «В контейнере закрытого ключа не найдены сертификаты». В этом случае, сертификат, скорее всего, был передан пользователю в виде файла.***

***Если при использовании версии КриптоПро CSP 2.0 появляется сообщение: «В контейнере не найдены секретные ключи», то, скорее всего этот контейнер был сгенерирован в КриптоПро CSP 3.0 или выше.***

Как выгрузить, открыть или извлечь сертификат ЭЦП рабочий стол компьютера

Квалифицированная электронная подпись (ЭЦП) выдается пользователю на специальном USB-носителе или токене. Он подключается к любому ПК или ноутбуку и отвечает всем требованиям безопасности. Но в некоторых случаях пользователю удобнее работать с закрытым ключом ЭЦП, расположенным на компьютере, а для этого нужно скопировать контейнер с сертификатом.

Зачем копировать сертификаты ЭЦП

Перенос ключей и сертификатов электронной подписи необходим в нескольких случаях. Первый из них — работа с ЭЦП сразу на нескольких ПК. Переставлять флешку с ключом не всегда удобно, поэтому пользователи предпочитают иметь копию на рабочем столе. Вторая причина для создания резервной копии — возможность потери или порчи USB-носителя. Это относится к людям, часто и много путешествующим, и работающим из нескольких точек. Необходимость копирования закрытого ключа есть и в случае создания виртуального сервера, к которому будут иметь доступ сразу несколько организаций.

Способы копирования ЭЦП

Существует несколько способов, как выгрузить сертификаты ЭЦП на рабочий стол. Для этого можно использовать программу КриптоПро, проводник Windows или консоль.

Извлечение сертификата из контейнера

Как извлечь сертификат из контейнера закрытого ключа:

  • Запустить КриптоПро CSP.
  • Перейти во вкладку «Сервис».
  • Нажать «Посмотреть сертификаты в контейнере».

  • Нажать «Обзор».

  • В новом окне будет список контейнеров закрытого ключа, из которого выбирают нужный, и нажимают «ОК».

  • Затем нажать «Далее».

  • При необходимости ввести pin-код и нажать «ОК».

  • В открывшемся окне необходимо нажать кнопку «Свойства».

  • Перейти на вкладку «Состав» и нажать кнопку «Копировать».

  • В новом окне нажимают «Далее» и выбирают пункт «Не экспортировать закрытый ключ».

  • В следующем рабочем окне выбирают первый пункт кодировки.

  • Затем нажимают «Обзор», выбирают путь сохранения сертификата и указывают имя файла, нажимают «Сохранить».

Для завершения процесса нужно нажать на кнопку «Далее», затем «Готово».

Копирование закрытого ключа в реестр

Экспортировать закрытый ключ вместе с сертификатом можно и в реестр, а оттуда — переместить на рабочий стол или в любое удобное место на ПК. Для этого также используется программа КриптоПро.

Пользователь должен:

  • Запустить КриптоПро, открыть меню «Сервис» и нажать «Копировать».

  • В новом окне выбрать контейнер, где хранятся закрытые ключи.

  • Нажать «Далее» и перейти к копированию контейнера, а в поле «Имя контейнера» ввести название ЭЦП.

  • Затем выбрать «Реестр».

Для установки скопированного сертификата нужно:

  • Еще раз открыть КриптоПро и во вкладке «Сервис» выбрать «Посмотреть сертификаты в контейнере».

  • Через «Обзор» выбрать нужный сертификат.

  • Проверить данные сертификата, срок действия и фио или иные данные.

  • Последовательно нажать «Установить», «Да», «Ок».

Экспорт сертификата с закрытым ключом прошел успешно, и теперь для работы с ЭЦП не нужно больше подключать носитель.

Копирование при помощи мастера экспорта ключей

Есть еще один способ переноса электронной подписи на компьютер. Для этого необходимо проделать следующие действия:

  • Проделать путь «Пуск», «Панель управления», «Свойства обозревателя».

  • Выбрать вкладку «Содержание», после чего через кнопку «Сертификаты» перейти во вкладку «Личные», а в открывшемся списке найти сертификат, который необходимо скопировать. Нажать «Экспорт».

  • В открывшемся мастере экспорта сертификатов нажимают «Далее».

  • Поставить нужные галочки.

  • Выбрать первый пункт (файлам с расширением Х.509).

  • Через «Обзор» выбрать место, куда необходимо сохранить закрытый ключ.

  • Нажать последовательно «Далее» и «Готово».

После копирования закрытого ключа использовать электронную подпись можно также без предварительного подключения USB-носителя.

Массовое копирование

Чтобы перенести сразу несколько ключей ЭЦП на другой компьютер или на любой другой носитель, проще использовать консольный метод.

Для копирования необходимо узнать SID пользователя. Сделать это можно при помощи команды wmic useraccount where name=’zerox’ get sid.

Для копирования контейнеров в файл нужно открыть редактор реестра и перейти в ветку: \HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Settings\Users\S-1-5-21-4126079715-2548991747-1835893097-1000\Keys.

Затем пользователь выбирает и экспортирует папку Keys.

Ветку с закрытыми ключами сохраняют в отдельный файл. Теперь нужно скопировать все сертификаты. В OS Windows 7 и старше они находятся в директории C:\Users\zerox\AppData\Roaming\Microsoft\SystemCertificates\My. Для переноса ветку реестра копируют, затем открывают в текстовом редакторе и меняют значение SID для нового ПК или пользователя.

Остается лишь запустить файл с расширением .reg и загрузить данные в реестр. После этого пользователь копирует папку с сертификатами на другой компьютер.

Как привязать сертификат к контейнеру

Для привязки сертификата ключа электронной подписи к контейнеру нужно:

  • Через «Панель управления» перейти к КриптоПро и выбрать «Свойства»/«Сервис»/«Установить личный сертификат».

  • В мастере установки через «Обзор» выбрать сертификат.

  • Затем в мастере установки нажать «Далее».

  • Еще раз нажать «Далее».

  • Выбрать ключевой контейнер, к которому будет привязан сертификат.

  • При необходимости сертификат можно поместить в личное хранилище или любое другое место на ПК.

  • Нажать «Готово».

На этом привязка сертификата к контейнеру завершена.

Ошибка при копировании контейнера

Если при создании ключа электронной подписи он не был помечен как экспортируемый, то скопировать или скачать его на ПК с токена не получится. Система выдаст ошибку копирования (0x8009000B (-2146893813)).

Чтобы перенести сертификат с токена придется воспользоваться другим способом. Через IE пользователь открывает «Содержание» через «Настройки».

Затем нужно выбрать сертификат и нажать «Экспорт».

В новом окне пользователь выбирает экспортирование закрытого ключа и проставляет все нужные галочки.

Далее нужно указать пароль, т.к. без него продолжать нельзя. А также пользователю нужно указать имя файла и место, куда нужно сохранить закрытый ключ. Остается лишь скопировать сертификат. Для этого нужно выбрать сертификат в списке, нажать «Экспорт» и выбрать файл .CER.

При правильной последовательности появляются два файла: .pfx и .cer.

Для завершения копирования нужно лишь перенести эти файлы на другой компьютер или носитель и запустить их установку при помощи мастера установки сертификатов.

Копирование закрытого ключа электронной подписи нужно в нескольких случаях: при частых путешествиях и в работе с нескольких ПК. Также перенести ключ ЭЦП на рабочий стол можно и для того, чтобы избежать порчи и потери USB-носителя. Процесс копирования проходит в несколько последовательных шагов, а выбрать можно для этого любой удобный способ. Это может быть простое извлечение ключа из закрытого контейнера, копирование при помощи КриптоПро или системный проводник. Ошибки при работе могут возникнуть только в случае защищенного от экспорта сертификата. Тогда пользователю придется произвести копирование при помощи браузера Internet Explorer.

Как экспортировать открытый ключ? — Удостоверяющий центр СКБ Контур

Экспорт файла открытого ключа можно осуществить следующими способами:

1. Экспорт из хранилища Личные.

Для этого необходимо проделать следующие действия:

  • Выбрать меню Пуск (Настройки) / Панель управления / Свойства обозревателя (либо Свойства браузера)​. Перейти на вкладку Содержание и нажать на кнопку Сертификаты (см. рис. 1). Рис. 1. Окно «Свойства обозревателя»/вкладка «Содержание».
  • Найти в списке нужный сертификат и нажать на кнопку Экспорт (см. рис. 2).

Если в списке отсутствует нужный сертификат, необходимо перейти к пункту 2.

Рис. 3. Параметры экспорта закрытого ключа.
  • В окне Мастер экспорта сертификатов нажать на кнопку Далее. Затем отметить пункт Нет, не экспортировать закрытый ключ и выбрать Далее (см. рис. 3).
  • В окне Формат экспортируемого файла выбрать Файлы X.509 (.CER) в кодировке DER и нажать на кнопку Далее (см. рис. 4). Рис. 4. Формат экспортируемого файла.
  • В следующем окне необходимо кликнуть по кнопке Обзор, указать имя и каталог для сохранения файла. Затем нажать на кнопку Сохранить (см. рис. 5). Рис. 5. Сохранение файла.
  • В следующем окне нажать на кнопку Далее, затем Готово. Дождаться сообщения об успешном экспорте.


2. Экспорт файла открытого ключа с помощью Крипто Про.

Для этого необходимо проделать следующие действия:

Рис. 6. Окно «Свойства КриптоПро CSP».
  • Выбрать меню Пуск / Панель управления / Крипто Про CSP. Перейти на вкладку Сервис и нажать на кнопку Просмотреть сертификаты в контейнере (см. рис. 6).
  • В открывшемся окне нажать на кнопку Обзор, чтобы выбрать контейнер для просмотра. После выбора контейнера нажать на кнопку Ок (см. рис. 7). Рис. 7. Окно выбора контейнера для просмотра.
  • В следующем окне кликнуть по кнопке Далее.

Если после нажатия на кнопку Далее появляется сообщение В контейнере закрытого ключа отсутствует открытый ключ шифрования, необходимо перейти к пункту 3.

  • В окне Сертификат для просмотра необходимо нажать кнопку Свойства (см. рис. 8). Рис. 8. Окно просмотра сертификата
Рис. 9. Вкладка «Состав».
  • В открывшемся файле сертификата следует перейти на вкладку Состав и нажать кнопку Копировать в файл (см. рис. 9).
  • В открывшемся окне Мастер экспорта сертификатов нажать на кнопку Далее. Затем отметить пункт Нет, не экспортировать закрытый ключ и выбрать Далее (см. рис. 10). Рис. 10. Параметры экспорта закрытого ключа.
  • В окне Формат экспортируемого файла выбрать Файлы X.509 (.CER) в кодировке DER и нажать на кнопку Далее (см. рис. 11). Рис. 11. Формат экспортируемого файла.
  • В следующем окне необходимо кликнуть по кнопке Обзор, указать имя и каталог для сохранения файла. Затем нажать на кнопку Сохранить (см. рис. 12). Рис. 12. Сохранение файла.
  • В следующем окне нажать на кнопку Далее, затем Готово. Дождаться сообщения об успешном экспорте. Закрыть все окна программы Крипто Про.


3. Если экспортировать сертификат не удалось ни первым, ни вторым способом, то для получения файла открытого ключа следует обратиться в службу технической поддержки по адресу [email protected], указав ИНН и КПП организации, а также данные сертификата (срок действия и ФИО владельца).

Как скопировать контейнер/закрытую часть ключа?

Если для работы используется дискета или flash-накопитель, копирование можно выполнить средствами Windows (этот способ подходит для версий КриптоПро CSP не ниже 3.0). Папку с закрытым ключом (и файл сертификата — открытый ключ, если он есть) необходимо поместить в корень дискеты (flash-накопителя). Название папки при копировании рекомендуется не изменять.  Папка с закрытым ключом должна содержать 6 файлов с расширением .key.

Пример закрытого ключа — папки с шестью файлами, и открытого ключа — файла с расширением .cer.



Копирование контейнера также можно выполнить с помощью КриптоПро CSP.  Для этого необходимо выполнить следующие шаги:Как правило, в закрытом ключе присутствует открытый ключ (файл header.key в этом случае будет весить больше 1 Кб). В этом случае копирование открытого ключа выполнять не обязательно.  

Копирование с помощью КриптоПро CSP   

     1. Выбрать Пуск / Панель Управления / КриптоПро CSP.

     2. Перейти на вкладку Сервис и кликнуть по кнопке Скопировать контейнер

     3. В окне «Копирование контейнера закрытого ключа» нажмите на кнопку «Обзор».

     4. Выберите контейнер, который необходимо скопировать, и кликните по кнопке «Ок», затем «Далее». 

     5. Если вы копируете с защищённого ключевого носителя, то появится окно ввода, в котором следует указать pin-код. 

     6. Если вы не меняли pin-код на носителе, стандартный pin-код необходимо вводить соответственно его типу:

Rutoken - стандартный pin-код 12345678
eToken /JaCarta  – 1234567890

     7. В следующем окне необходимо ввести имя Вашей копии. Придумайте и укажите вручную имя для нового контейнера. В названии контейнера допускается русская раскладка и пробелы. Затем кликните «Готово».

     8. В окне «Выбор ключевого носителя» выберите носитель, на который будет помещен новый контейнер.

     9. На новый контейнер будет предложено установить пароль. Рекомендуем установить такой пароль, чтобы вам было легко его запомнить, но посторонние не могли его угадать или подобрать. Если вы не хотите устанавливать пароль, можно оставить поле пустым и нажать «ОК».

В случае утери пароля/pin-кода использование контейнера станет невозможным.

     10. Если вы копируете контейнер на смарт-карту ruToken/eToken /JaCarta, окно запроса будет выглядеть так: 

     11. В окне ввода укажите pin-код. Если вы не меняли pin-код на носителе, стандартный pin-код 

Rutoken - 12345678
eToken /JaCarta  – 1234567890

     12. После копирования система вернется на вкладку «Сервис» КриптоПро CSP. Копирование завершено. 

     13. Для работы с копией ключевого контейнера необходимо установить личный сертификат.

     14. В меню Пуск выберите пункт «КРИПТО-ПРО», запустите приложение «КриптоПро CSP»

     15. Перейдите на вкладку «Сервис» и нажмите кнопку «Просмотреть сертификаты в контейнере»:

     16. В следующем окне нажмите кнопку Обзор, чтобы выбрать контейнер для просмотра (в нашем примере контейнер находится в Реестре):

     17. После выбора контейнера нажмите кнопку Ок, затем Далее

     18. Если после нажатия на кнопку Далее Вы видите такое сообщение:

     19. «В контейнере закрытого ключа отсутствует открытый ключ шифрования», следует установить сертификат по рекомендациям, описанным в разделе «Установка через меню «Установить личный сертификат».

     20. В окне Сертификат для просмотра нажмите кнопку Установить:

     21. Если откроется сообщение «Этот сертификат уже присутствует в хранилище сертификатов. Заменить существующий сертификат новым, с проставленной ссылкой на закрытый ключ?», нажмите Да:

     22. Дождитесь сообщения об успешной установке:


     23. Сертификат установлен. Можно закрыть все открытые окна КриптоПро.

 

Установка через меню «Установить личный сертификат».

     1. Для установки сертификата этим способом Вам понадобится файл сертификата (файл с расширением.cer). 
 

     2. В меню Пуск выберите пункт «КРИПТО-ПРО», запустите приложение «КриптоПро CSP»

     3. Перейдите на вкладку «Сервис» и нажмите кнопку «Установить личный сертификат»:

     4. В следующем окне нажмите кнопку Обзор, чтобы выбрать файл сертификата. Укажите путь к файлу сертификата и нажмите кнопку Открыть (в нашем примере файл сертификата находится на Рабочем столе):

     5. В следующем окне нажмите кнопку Далее; в окне Сертификат для установки нажмите Далее.

     6. Поставьте галку в окне Найти контейнер автоматически (в нашем примере контейнер находится в Реестре компьютера) и нажмите Далее:

     7. В следующем окне отметьте пункт Установить сертификат (цепочку сертификатов) в контейнер и нажмите Далее:

     8. В окне Завершение мастера установки личного сертификата нажмите Готово.

     9. Если КриптоПро CSP запрашивает pin-код от контейнера, введите нужный код или попробуйте стандартные pin-коды носителей:

Rutoken - 12345678
eToken /JaCarta  – 1234567890

     10. Если откроется сообщение «Этот сертификат уже присутствует в хранилище сертификатов. Заменить существующий сертификат новым, с проставленной ссылкой на закрытый ключ?», нажмите Да:

     11. Сертификат установлен. Можно закрыть все открытые окна КриптоПро.


Остались вопросы? 

Отдел технической поддержки
 
тел.: 8 (800) 333-91-03, доб. 2400
email: [email protected]

Как скопировать контейнер? — Удостоверяющий центр СКБ Контур

В случае, если для работы используется flash-накопитель или дискета, копирование можно выполнить средствами Windows (этот способ подходит для версий КриптоПро CSP не ниже 3.0). Папку с закрытым ключом (и файл сертификата, если он есть) необходимо поместить в корень flash-накопителя (дискеты). Название папки при копировании рекомендуется не изменять. 

Папка с закрытым ключом должна содержать 6 файлов с расширением.key. Ниже приведен пример содержимого такой папки.

Копирование контейнера также может быть выполнено с помощью криптопровайдера КриптоПро CSP. Для этого необходимо выполнить следующие шаги:

1. Выбрать Пуск / Панель Управления / КриптоПро CSP.

2. Перейти на вкладку Сервис и кликнуть по кнопке Скопировать. (см. рис. 1).

Рис. 1. Окно «Свойства КриптоПро CSP»

3. В окне Копирование контейнера закрытого ключа нажать на кнопку Обзор (см. рис. 2).

Рис. 2. Копирование контейнера закрытого ключа

4. Выбрать контейнер из списка, кликнуть по кнопке Ок, затем Далее.

5. Далее необходимо указать вручную имя контейнера, на который будет выполнено копирование. В названии контейнера допускается русская раскладка и пробелы. Затем выбрать Готово (см. рис. 3).

Рис. 3. Имя ключевого контейнера

6. В окне «Вставьте и выберите носитель для хранения контейнера закрытого ключа» необходимо выбрать носитель, на который будет помещен новый контейнер (см. рис. 4).

Рис. 4. Выбор чистого ключевого носителя

7. На новый контейнер будет предложено установить пароль. Установка пароля не является обязательной, можно оставить поле пустым и нажать на кнопку Ок (см. рис. 5).

Рис. 5. Установка пароля на контейнер

Если копирование выполняется на носитель Rutoken, сообщение будет звучать иначе (см. рис. 6)

Рис. 6. Pin-код для контейнера

Рекомендуется указать стандартный pin-код (12345678)

Обращаем ваше внимание: в случае утери пароля/pin-кода использование контейнера станет невозможным.

8. После выполнения копирования система вернется на вкладку Сервис в окне КриптоПро CSP. Копирование завершено. Если планируется использовать для работы в системе «Контур-Экстерн» новый ключевой контейнер, необходимо установить личный сертификат (см. Как установить личный сертификат?).

Для массового копирования скачайте и запустите утилиту Certfix. 

  1. После запуска дождитесь загрузки всего списка контейнеров\сертификатов.
  2. Отметьте нужные контейнеры галочками.
  3. Нажмите на меню «Массовые действия» и нажмите на кнопку «Копирование контейнеров»
  4. Выберите носитель для хранения копии контейнера и нажмите на ОК
  5. При копировании в реестр можно поставить галочку на пункте «Копировать в ключевой контейнер компьютера» — после копирования контейнер будет доступен всем пользователям данного компьютера.
  6. После копирования нажмите внизу слева кнопку Обновить
  7. Если хотите работать со скопированными контейнерами — необходимо установить сертификаты. Сделать это можно массово по кнопке «Импорт в хранилище личных».

Как скопировать ЭЦП на флешку или компьютер в 2020 году

Автор: Задорожнева Александра 26 июня 2020

Зачем копируют сертификаты ЭЦП на другой компьютер или флешку

Для удобства пользователей электронную цифровую подпись записывают на съемные носители (диск, флешка и т. п.) или компьютер. Вот как пользоваться ЭПЦ с флешки, токена или другого носителя:

  1. Записать на накопитель закрытый ключ.
  2. Сгенерировать на носителе открытый ключ.
  3. Задать пароль (для токенов паролем является ПИН-код).
  4. Установить ключевой контейнер на пользовательский компьютер.
  5. Добавить цифровую подпись на ПК и подписывать документы. Действие выполняется через файл сертификата в разделе «Защита документа».

Электронная подпись одновременно находится и на флеш-накопителе, на котором ее записали, и на компьютере — в той директории, куда ее установил пользователь. После установки и записи ЭП пользователь автоматически подписывает необходимые документы цифровым шифром. Но иногда требуется перенос ключей и сертификатов электронной подписи. Пользователи производят копирование ЭПЦ с флешки на флешку в следующих случаях:

  • дублирование записи с целью защиты накопителя — предотвращение порчи носителя или потери сведений на флешке;
  • работа на нескольких компьютерах — создание копий для всех пользователей;
  • создание облачного сервера — виртуальный доступ к ЭЦП для нескольких работников или организаций.

Перенос потребуется и в том случае, если вы хотите обновить, модернизировать или переустановить операционную систему. Если не скопировать сертификат ЭЦП заранее, закодированная информация просто исчезнет с ПК.

Какие есть способы копирования

Существует несколько способов переноса. Предлагаем варианты, как скопировать ЭПЦ с компьютера на компьютер при помощи различных

Как извлечь данные SSL с любого веб-сайта

Наличие SSL является обязательным условием для всех типов проектов, особенно тех, которые зависят от наличия веб-сайтов в Интернете, таких как порталы и магазины электронной торговли. Здесь, в SecurityTrails, мы много обсуждаем безопасность SSL, а также тенденции в отношении новых сетевых угроз, вызванных устаревшими записями DNS и бесплатными сертификатами SSL.

Имея это в виду, имеет смысл ознакомиться с инструментами домена SSL, которые помогают нам понять, как работает SSL, какие данные лежат в основе SSL-сертификатов, и как эту информацию можно использовать в широком диапазоне рынков и предприятий.

Сегодня мы собираемся показать вам, как извлечь данные SSL с любого веб-сайта, используя как командную строку, так и веб-инструменты. Начнем с анализа причин, по которым это необходимо.

Зачем кому-то нужно получать информацию SSL с веб-сайта?

  • Интеллектуальная разведка : этот процесс используется в исследованиях информационной безопасности и кибербезопасности, выполняемых исследователями безопасности и тестерами на проникновение, чтобы получить наибольший объем данных от своих целей в общих задачах OSINT.
  • Анализ поверхности атаки : В рамках общих мер по сокращению поверхности атаки получение важной информации о вашей SSL-инфраструктуре имеет важное значение, когда вам нужно уменьшить поверхность атаки. Этот процесс часто используется синими командами, когда они ищут способы укрепить свои открытые цифровые области.
  • Мониторинг истечения срока действия SSL : Одна из самых больших проблем, с которыми люди сталкиваются после принятия SSL, заключается в том, что, как и у доменных имен, у сертификатов SSL также есть срок действия.Когда вы просматриваете популярный веб-сайт и обнаруживаете, что срок действия цифрового сертификата истек, это приводит к тому, что веб-сайт не работает, и, что еще хуже, информационный туннель между браузером и сервером остается незашифрованным.

Теперь, когда вы понимаете важность извлечения данных SSL, давайте рассмотрим инструменты, которые вам понадобятся для достижения вашей цели.

Для тех, кто любит терминал так же сильно, как и мы, всегда витает магия, когда мы сталкиваемся лицом к лицу с консолью Linux / Unix.С помощью этого потрясающего интерфейса вы можете делать практически все, что угодно, в том числе и с сертификатами SSL.

Давайте рассмотрим лучшие команды для извлечения данных SSL из вашего собственного локального файла сертификата, вашего веб-сайта или стороннего веб-сайта.

Перво-наперво. Предположим, вы не хотите проверять удаленный сервер, а просто хотите прочитать свой локальный файл сертификата .crt. Для этого вы должны просто использовать утилиту OpenSSL, как показано здесь:

  openssl x509 -text -noout -in securitytrails.crt  

Это покажет вам детали сертификата SSL, включая общее имя, эмитента, даты истечения срока действия и т. Д.

Это только для местных сертификатов. Но что произойдет, если вы захотите проверить удаленный веб-сайт на основе SSL? Вот где начинается самое интересное - вот ваши варианты.

Завиток

Одним из старейших и наиболее классических инструментов Unix, доступных для получения информации с любого веб-сайта, является команда curl¹, которую также можно использовать для извлечения данных из любого сертификата SSL.В этом случае есть несколько способов его использования:

  curl -vvI https://securitytrails.com  

Это покажет вам некоторые основные сведения о сертификате SSL, такие как поддержка ALPN / HTTP2, подтверждение TLS, данные сертификата сервера, эмитент и многое другое, как вы можете видеть в выходных данных:

  [[email protected] ~] $ curl -vvI https://securitytrails.com * Пробуем 151.139.243.5:443 ... * TCP_NODELAY установлен * Подключено к securitytrails.com (151.139.243.5) порт 443 (# 0) * ALPN, предлагающий h3 * ALPN, предлагающий http / 1.1 * успешно установлены местоположения проверки сертификата: * Файл CA: /etc/pki/tls/certs/ca-bundle.crt CApath: нет * TLSv1.3 (OUT), рукопожатие TLS, привет клиенту (1): * TLSv1.3 (IN), рукопожатие TLS, привет серверу (2): * TLSv1.2 (IN), рукопожатие TLS, сертификат (11): * TLSv1.2 (IN), рукопожатие TLS, обмен серверными ключами (12): * TLSv1.2 (IN), рукопожатие TLS, сервер завершен (14): * TLSv1.2 (OUT), рукопожатие TLS, обмен клиентскими ключами (16): * TLSv1.2 (OUT), изменение шифра TLS, изменение спецификации шифра (1): * TLSv1.2 (OUT), рукопожатие TLS, завершено (20): * TLSv1.2 (IN), рукопожатие TLS, завершено (20): * SSL-соединение с использованием TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256 * ALPN, сервер разрешил использовать h3 * Сертификат сервера: * subject: OU = Контроль домена подтвержден; OU = подстановочный знак PositiveSSL; CN = *. Securitytrails.com * Дата начала: 8 января 00:00:00 2018 г. по Гринвичу * срок действия: 7 января 23:59:59 2021 по Гринвичу * subjectAltName: хост "securitytrails.com" соответствует сертификату "securitytrails.com" * эмитент: C = GB; ST = Большой Манчестер; L = Салфорд; O = COMODO CA Limited; CN = COMODO RSA Domain Validation Secure Server CA * Подтвердите сертификат SSL в порядке.* Используя HTTP2, сервер поддерживает многоцелевое использование * Состояние подключения изменено (HTTP / 2 подтвержден) * Копирование данных HTTP / 2 из буфера потока в буфер подключения после обновления: len = 0 * Использование идентификатора потока: 1 (простой дескриптор 0x55cbbc1a8940) > HEAD / HTTP / 2 > Хост: securitytrails.com > Пользовательский агент: curl / 7.65.3  

Вот еще один синтаксис с использованием curl, который предполагает использование всемогущего языка программирования AWK:

  curl --insecure -v https://securitytrails.com 2> & 1 | awk 'BEGIN {cert = 0} / ^ \ * SSL-соединение / {cert = 1} / ^ \ * / {if (cert) print}'  

Ожидаемый результат:

  [исследование @ securitytrails.\ * / {if (cert) print} ' * SSL-соединение с использованием TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256 * ALPN, сервер разрешил использовать h3 * Сертификат сервера: * subject: OU = Контроль домена подтвержден; OU = подстановочный знак PositiveSSL; CN = *. Securitytrails.com * Дата начала: 8 января 00:00:00 2018 г. по Гринвичу * срок действия: 7 января 23:59:59 2021 по Гринвичу * эмитент: C = GB; ST = Большой Манчестер; L = Салфорд; O = COMODO CA Limited; CN = COMODO RSA Domain Validation Secure Server CA * Подтвердите сертификат SSL в порядке. * Используя HTTP2, сервер поддерживает многоцелевое использование * Состояние подключения изменено (HTTP / 2 подтвержден) * Копирование данных HTTP / 2 из буфера потока в буфер подключения после обновления: len = 0 * Использование идентификатора потока: 1 (простая ручка 0x55cd030a4940) * Состояние подключения изменено (MAX_CONCURRENT_STREAMS == 128)! * Соединение №0 для размещения трассировок безопасности.ком оставлено целым  

Инструмент для ключей

Keytool² - еще один отличный инструмент, используемый для анализа и извлечения данных из удаленного SSL-сертификата. Только убедитесь, что у вас установлена ​​Java 7 или выше, иначе она может работать не так, как ожидалось.

Синтаксис этого инструмента очень простой:

  keytool -printcert -sslserver securitytrails.com:443  

Пример вывода:

Как видите, команда keytool смогла успешно прочитать удаленный сертификат SSL и отобразить информацию на экране, в том числе полный подробный результат.

OpenSSL

OpenSSL - лучший друг хакеров SSL. Это мощная команда, созданная для взаимодействия со всем, что связано с сертификатами SSL, от генерации до чтения ключей и файлов сертификатов.

В этом случае мы можем использовать следующий синтаксис:

  эхо | openssl s_client -showcerts -servername securitytrails.com -connect securitytrails.com:443 2> / dev / null | openssl x509 -inform pem -noout -text  

Пример вывода:

  [исследование @ securitytrails.com ~] $ echo | openssl s_client -showcerts -servername securitytrails.com -connect securitytrails.com:443 2> / dev / null | openssl x509 -inform pem -noout -text Сертификат: Данные: Версия: 3 (0x2) Серийный номер: 7e: 0b: 3e: 52: 94: f4: d9: e4: eb: a2: aa: 28: 9c: 8a: f6: 74 Алгоритм подписи: sha256WithRSAEncryption Эмитент: C = GB, ST = Большой Манчестер, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Domain Validation Secure Server CA Срок действия Не раньше: 8 января 00:00:00 2018 GMT Не после: 7 января 23:59:59 2021 по Гринвичу Тема: OU = Контроль домена подтвержден, OU = Подстановочный знак PositiveSSL, CN = *.securitytrails.com Информация об открытом ключе субъекта: Алгоритм открытого ключа: rsaEncryption Открытый ключ RSA: (2048 бит)  

Это работает, если вы используете SNI (общий IP-адрес с несколькими сертификатами), поскольку он отправляет правильное имя хоста для получения правильного сертификата SSL.

Если вы не используете SNI, вы можете использовать его без аргумента -servername:

  openssl s_client -showcerts -connect securitytrails.com:443  

Nmap

Да, снова Nmap - мы любим его и не можем без него жить! Как вы, возможно, уже догадались, Nmap - это не только один из лучших сканеров портов, его также можно использовать для получения ценных данных из любого сертификата SSL.

Синтаксис для извлечения данных SSL довольно прост:

  nmap -p 443 --script ssl-cert securitytrails.com  

Ожидаемый результат:

  [[email protected] ~] $ nmap -p 443 --script ssl-cert securitytrails.com Запуск Nmap 7.70 (https://nmap.org) в 2019-09-10 13:34 -03 Отчет о сканировании Nmap для securitytrails.com (151.139.243.5) Хост работает (задержка 0,049 с). ПОРТОВАЯ ГОСУДАРСТВЕННАЯ СЛУЖБА 443 / TCP открыть https | ssl-cert: Тема: commonName = *. securitytrails.com | Альтернативное имя субъекта: DNS: *. Securitytrails.com, DNS: securitytrails.com | Эмитент: commonName = COMODO RSA Domain Validation Secure Server CA / organizationName = COMODO CA Limited / stateOrProvinceName = Greater Manchester / countryName = GB | Тип открытого ключа: rsa | Биты открытого ключа: 2048 | Алгоритм подписи: sha256WithRSAEncryption | Не действует до: 2018-01-08T00: 00: 00 | Не действует после: 2021-01-07T23: 59: 59 | MD5: 9b0d 0197 5f64 a9bd 7e1b 59bc e868 6eb5 | _SHA-1: a806 5c55 de8c cc1f bbc7 e274 7c8f 13a2 58bb e1e4 Выполнено Nmap: 1 IP-адрес (1 хост включен) просканирован за 3.78 секунд [[email protected] ~] $  

Предыдущая команда nmap выполнит сканирование порта для порта 443, но не будет печатать информацию о порте на выходе, вместо этого она покажет только детали сертификата SSL с использованием сценария –script ssl-cert³.

Добавление параметра -v в конце выведет еще больше информации, такой как ход сканирования NVE, разрешение DNS, текущий сертификат и т. Д., Как показано ниже:

  [[email protected] ~] $ nmap -p 443 --script ssl-cert securitytrails.com -v Запуск Nmap 7.70 (https://nmap.org) в 2019-09-10 13:42 -03 NSE: Загрузил 1 скрипт для сканирования. NSE: предварительное сканирование сценария. Запуск NSE в 13:42 Завершено NSE в 13:42, прошло 0,00 сек. Запуск сканирования Ping в 13:42 Сканирование securitytrails.com (151.139.243.5) [2 порта] Сканирование Ping завершено в 13:42, прошло 0,06 с (всего 1 хост) Запуск параллельного разрешения DNS для 1 хоста. в 13:42 Завершено параллельное разрешение DNS для 1 хоста. в 13:42, прошло 0,34 секунды Запуск сканирования Connect в 13:42 Сканирование следов безопасности.com (151.139.243.5) [1 порт] Обнаружен открытый порт 443 / tcp на 151.139.243.5 Завершено сканирование подключения в 13:42, прошло 0,08 с (всего 1 порт) NSE: Скрипт сканирования 151.139.243.5. Запуск NSE в 13:42 Завершено NSE в 13:42, прошло 0,22 секунды Отчет о сканировании Nmap для securitytrails.com (151.139.243.5) Хост работает (задержка 0,061 с). ПОРТОВАЯ ГОСУДАРСТВЕННАЯ СЛУЖБА 443 / TCP открыть https | ssl-cert: Subject: commonName = *. securitytrails.com/organizationalUnitName=PositiveSSL Wildcard | Альтернативное имя субъекта: DNS: *. Securitytrails.com, DNS: securitytrails.com | Эмитент: commonName = COMODO RSA Domain Validation Secure Server CA / organizationName = COMODO CA Limited / stateOrProvinceName = Greater Manchester / countryName = GB / localityName = Salford | Тип открытого ключа: rsa | Биты открытого ключа: 2048 | Алгоритм подписи: sha256WithRSAEncryption | Не действует до: 2018-01-08T00: 00: 00 | Не действует после: 2021-01-07T23: 59: 59 | MD5: 9b0d 0197 5f64 a9bd 7e1b 59bc e868 6eb5 | SHA-1: a806 5c55 de8c cc1f bbc7 e274 7c8f 13a2 58bb e1e4 | ----- НАЧАТЬ СЕРТИФИКАТ ----- | MIIFYzCCBEugAwIBAgIQfgs + UpT02eTroqoonIr2dDANBgkqhkiG9w0BAQsFADCB | kDELMAkGA1UEBhMCR0IxGzAZBgNVBAgTEkdyZWF0ZXIgTWFuY2hlc3RlcjEQMA4G | A1UEBxMHU2FsZm9yZDEaMBgGA1UEChMRQ09NT0RPIENBIExpbWl0ZWQxNjA0BgNV | BAMTLUNPTU9ETyBSU0EgRG9tYWluIFZhbGlkYXRpb24gU2VjdXJlIFNlcnZlciBD | QTAeFw0xODAxMDgwMDAwMDBaFw0yMTAxMDcyMzU5NTlaMGExITAfBgNVBAsTGERv | bWFpbiBDb250cm9sIFZhbGlkYXRlZDEdMBsGA1UECxMUUG9zaXRpdmVTU0wgV2ls | ZGNhcmQxHTAbBgNVBAMMFCouc2VjdXJpdHl0cmFpbHMuY29tMIIBIjANBgkqhkiG | 9w0BAQEFAAOCAQ8AMIIBCgKCAQEAzvN + w / el4 / jPbLdFQ / yh9OW7tOr + Zl3EUffj | geQ4snclVT5OXWmef7WO / MEy09XGJ2E1HHVk / dG79EWIDR5GPxSpP1T5tEC2lLn + | r2qt8DnQphh4JW7LxHUEQAYwfAOWyA6Q37QZHYpP3AHXA / JJF41YvYOn4QwwxzaQ | 3E9tQo ++ 9FFpeufAfFq9CQBdBjg + d + nbVurXA6QLvycP4K / QEIMm3UiHQ58tGv6a | M6DM6v2JcBtqxERuoZo6hG86NrGwG0PYjLvUPy205I0nB + erNnDtHVasaVA4qAgF | m0zgvn2wHkD3RlGmF9B267h3BSHjrMJwE8XVp6ynZFyfuIhwVwIDAQABo4IB5TCC | AeEwHwYDVR0jBBgwFoAUkK9qOpRaC9iQ6hJWc99DtDoo2ucwHQYDVR0OBBYEFGO5 | x48 / 2W26ePVabCRAjYfChLEJMA4GA1UdDwEB / wQEAwIFoDAMBgNVHRMBAf8EAjAA | MB0GA1UdJQQWMBQGCCsGAQUFBwMBBggrBgEFBQcDAjBPBgNVHSAESDBGMDoGCysG | AQQBsjEBAgIHMCswKQYIKwYBBQUHAgEWHWh0dHBzOi8vc2VjdXJlLmNvbW9kby5j | b20vQ1BTMAgGBmeBDAECATBUBgNVHR8ETTBLMEmgR6BFhkNodHRwOi8vY3JsLmNv | bW9kb2NhLmNvbS9DT01PRE9SU0FEb21haW5WYWxpZGF0aW9uU2VjdXJlU2VydmVy | Q0EuY3JsMIGFBggrBgEFBQcBAQR5MHcwTwYIKwYBBQUHMAKGQ2h0dHA6Ly9jcnQu | Y29tb2RvY2EuY29tL0NPTU9ET1JTQURvbWFpblZhbGlkYXRpb25TZWN1cmVTZXJ2 | ZXJDQS5jcnQwJAYIKwYBBQUHMAGGGGh0dHA6Ly9vY3NwLmNvbW9kb2NhLmNvbTAz | BgNVHREELDAqghQqLnNlY3VyaXR5dHJhaWxzLmNvbYISc2VjdXJpdHl0cmFpbHMu | Y29tMA0GCSqGSIb3DQEBCwUAA4IBAQB1F4 / RRfFpZkDOUs4bEvUgHW4RAjNUTP / g | TWF + XXWzY + pMf5VqZzvhQSTvMgmt7ZXLdqp / eiHmAlkbKEkERFYaypkQh7YoztYm | zx7aty4xwMnaxvpA + qb57VGWynb5vs1KT03CZz54pbGAJ5m89SlvB7a4qsBbmJlA | zOomGNoXcUp1t + kHigMx5RC1 + LcjsyASIQXOEdRG5l / idTiAIuYcMShuNDyjkP0t | NxX4NxnTXVbuDVFUBvFPsGEZdFkogGJzpShVpmWfeVflN6eLIZfLwOK8iZLVsFzl | JjcrsUA6Al + ZaUVEbmUVmAi4h3AcT + 3F5d1sDDAGrm9whbl0HwMt | _----- КОНЕЦ СЕРТИФИКАТА ----- NSE: Скрипт после сканирования.Запуск NSE в 13:42 Завершено NSE в 13:42, прошло 0,00 сек. Чтение файлов данных из: /usr/bin/../share/nmap Выполнено Nmap: 1 IP-адрес (1 хост активен) просканирован за 2,47 секунды  

Хотя существует несколько других инструментов командной строки, которые могут помочь получить информацию SSL, это наиболее распространенные и традиционные инструменты.

Хорошей альтернативой для ИТ-пользователей, не знакомых с терминалом, являются веб-инструменты SSL. Эти инструменты могут помочь вам извлечь и проанализировать информацию SSL за секунды и не требуют знаний команд Linux / Unix.

По этой причине эти типы инструментов полезны для всех видов цифровых пользователей, включая графических дизайнеров, маркетологов-аналитиков, ИТ-экспертов, таких как тестеры на проникновение, и исследователей этического взлома.

Информация SSL веб-браузера

Один из самых традиционных способов извлечения данных SSL из сертификата - использование веб-браузера. В этом случае мы провели тест с помощью Google Chrome⁴ и, как и ожидалось, были достаточно любезны, чтобы предоставить нам правильную информацию о нашем сертификате SSL.

Выполните следующие действия:

  1. Щелкните значок «Защищенный» в адресной строке URL.
  2. Щелкните ссылку «Сертификат» внизу.
  3. Щелкните вкладку «Подробности».

Как показано выше, такие детали, как общее имя, срок действия организации (дата создания и истечения срока действия) и отпечатки пальцев, отображались без проблем. Если вам требуется дополнительная информация, вы можете щелкнуть вкладку «Подробности» справа.

Вот как вы можете получать данные SSL без команд, если вы используете Google Chrome.Однако если вы работаете с Mozilla Firefox, вам следует выполнить следующие действия:

  • Открыть любую веб-страницу на основе HTTPS
  • Щелкните серо-зеленый замок в строке URL.
  • Щелкните стрелку справа
  • Щелкните «Подробнее», чтобы просмотреть основную информацию об SSL.
  • Затем нажмите кнопку «Просмотреть сертификат», чтобы получить полную информацию об SSL.

Эти методы из двух самых популярных браузеров будут работать; однако они требуют, чтобы вы часто щелкали мышью и перепрыгивали через разные окна, чтобы получить всю необходимую информацию.Без создания скриншотов их использование может быть громоздким.

Qualys SSL Test

Этот анализ был бы неполным, если бы мы не включили в него один из самых популярных инструментов анализа SSL: тест Qualys SSL.

Этот инструмент предлагает глубокий анализ вашего SSL-сертификата и переменных конфигурации SSL-сервера в вашей инфраструктуре внутреннего хостинга.

После того, как вы запустите тест, он покажет вам несколько деталей, таких как оценка адресов IPv4 и IPv6, как показано на этом снимке экрана:

Информация о ключе сервера и сертификате

включает множество деталей, таких как срок действия, дата истечения срока действия, общее имя и т. Д.

Вы также найдете дополнительные сертификаты (если они есть), анализ конфигурации сервера SSL, поддерживаемые протоколы (TLS 1.0–1.3 и старые SSL 2 и SSL3), текущую конфигурацию набора шифров, HTTP-запросы, полную информацию заголовка и имитацию рукопожатия для посмотреть, какие операционные системы могут успешно или нет загрузить сертификат SSL, а также большинство деталей протокола:

Это действительно один из наиболее полных инструментов, доступных для анализа SSL-сертификата, но его полезность может быть ограничена - он не фокусируется на массивной информации Intel SSL, а скорее на большинстве настроек на стороне сервера.

Анализатор SSL SurfaceBrowser

Здесь, в SecurityTrails, мы разработали SurfaceBrowser ™ как универсальное решение корпоративного уровня для всех, кому необходимо уменьшить зону действия атак, а также тех, кому необходимо исследовать любые поверхностные ИТ-активы любой удаленной компании в Мир. Это включает IP-адреса, доменные имена, зоны DNS и их записи, открытые порты и, конечно же, сертификаты SSL.

Давайте посмотрим, как SurfaceBrowser ™ можно использовать для извлечения важной информации о сертификатах SSL от любой компании:

  • Войдите в интерфейс SurfaceBrowser, перейдя по адресу: https: // securitytrails.com / app / sb
  • Введите доменное имя, которое хотите проанализировать.
  • Щелкните «Сертификаты» в левом меню.
  • Данные SSL будут отображаться перед вами

SurfaceBrowser ™ предлагает уникальные интеллектуальные данные SSL для любой организации в любом месте, включая частные и государственные правительственные учреждения.

Как вы можете видеть в нашем примере с nasa.gov, мы смогли получить подробную информацию об SSL, которую можно отсортировать, используя такие параметры, как сводка по компании, сводка по году создания и истечения срока действия, а также срок действия:

Результаты отображаются непосредственно под этим первым интерфейсом, показывая зарегистрированные компании имена, все домены, использующие сертификат SSL, эмитент SSL, а также созданные и просроченные сертификаты:

На предыдущем снимке экрана мы показали информацию только для 8 лучших SSL-сертификатов NASA, однако наш сканер SSL смог найти до 2875 результатов.

Этот анализ дает интересные подробности, в том числе тот факт, что НАСА использует разные названия компаний для всех своих SSL-сертификатов, что можно увидеть, щелкнув ярлык «Компания»:

  • Лаборатория реактивного движения НАСА
  • Правительство США
  • НАСА
  • Национальное управление по аэронавтике и исследованию космического пространства
  • НАСА (Национальное управление по аэронавтике и исследованию космического пространства)
  • Исследовательский центр Эймса НАСА
  • Исследовательский центр Лэнгли
  • Центр космических полетов имени Годдарда НАСА
  • Исследовательский центр NASA в Лэнгли
  • НАСА Космический центр Джонсона

Еще одна вещь, которую мы заметили, это то, что для процесса выдачи SSL, nasa.Правительство больше всего полагается на эти компании: CloudFlare Inc., Entrust Inc., DigiCert Inc., Amazon, GoDaddy Inc., Comodo CA Limited и правительство США.

Еще одну любопытную деталь можно найти, отсортировав информацию по меткам «Срок действия» и «Срок действия»:

Используя этот вариант, мы обнаружили, что скоро истекающие сертификаты SSL НАСА включают 1817 сертификатов на 2019 год, 2078 на 2020 год и 287 на 2021 год.

С точки зрения синей команды, помните об этом - это хорошая возможность избежать любых неожиданных истечений срока действия SSL, которые могут привести к открытию незашифрованных веб-интерфейсов.

С другой стороны, суммирование SSL-сертификатов по срокам действия позволяет находить активные SSL-сертификаты и исследовать просроченные (в большинстве случаев также неизвестные) сертификаты, которые могут раскрыть важные данные Intel о домене, который вы исследуете. В конечном итоге это может привести к обнаружению уязвимых цифровых активов.


Сегодня вы узнали, как анализировать сертификаты SSL и извлекать из них ценные данные с помощью устаревших инструментов командной строки, а также современных веб-утилит SSL, таких как SurfaceBrowser ™.

Сертификаты SSL

никогда не рассматривались как одноразовое решение, которое нужно было установить и забыть. Они требуют обслуживания и контроля, чтобы предотвратить неожиданный срок годности. Что касается информационной безопасности, то SSL предлагает большие объемы данных для анализа и использования в любом расследовании кибербезопасности как синими, так и красными командами.

Если SSL-сертификаты так же важны для вас, как и для нас, не откладывайте: начните проверять свои сертификаты с помощью SurfaceBrowser ™ и уменьшите площадь вашей атаки, исследуя свои собственные данные до того, как это сделают злоумышленники.

Это наше решение корпоративного уровня, которое ждет ускорения извлечения данных из ваших сертификатов SSL за считанные секунды. Закажите демонстрацию у нашего отдела продаж сегодня, чтобы протестировать SurfaceBrowser ™ уже сегодня!

¹ https://es.wikipedia.org/wiki/CURL ² https://docs.oracle.com/cd/E37670_01/E36387/html/ol_keytool_sec.html ³ https://nmap.org/nsedoc/scripts/ssl-cert.html ⁴ https://support.google.com/chrome/answer/95617?hl=en

ЭСТЕБАН БОРДЖ

Эстебан - опытный исследователь и специалист по кибербезопасности с более чем 15-летним опытом.С момента присоединения к SecurityTrails в 2017 году он был нашим специалистом по технической безопасности серверов и информации об источниках.

.

Экспорт сертификатов и закрытого ключа из файла PKCS # 12 с помощью OpenSSL

Это руководство поможет вам извлечь информацию из файла PKCS # 12 с помощью OpenSSL. PKCS # 12 (также известный как PKCS12 или PFX) - это двоичный формат для хранения цепочки сертификатов и закрытого ключа в одном зашифрованном файле. Файлы PKCS # 12 обычно используются для импорта и экспорта сертификатов и закрытых ключей на компьютерах с Windows и macOS и обычно имеют расширения файлов .p12 или .pfx .

Что такое OpenSSL?
OpenSSL - очень полезный набор инструментов командной строки с открытым исходным кодом для работы с сертификатами X.509, запросами на подпись сертификатов (CSR) и криптографическими ключами. Если вы используете вариант UNIX, такой как Linux или macOS, OpenSSL, вероятно, уже установлен на вашем компьютере. Если вы хотите использовать OpenSSL в Windows, вы можете включить подсистему Linux в Windows 10 или установить Cygwin. Вы также можете легко создать файл PKCS # 12 с помощью openSSL.

Нужен сертификат? SSL.com вы прикрыли. Сравните варианты здесь, чтобы найти правильный выбор, от сертификатов S / MIME, подписи кода и т. Д.

ЗАКАЖИТЕ СЕЙЧАС

Видео

Во всех приведенных ниже примерах замените имена файлов, с которыми вы фактически работаете, на INFILE.p12 , OUTFILE.crt и OUTFILE. ключ .

Просмотр информации PKCS # 12 на экране

Чтобы вывести всю информацию из файла PKCS # 12 на экран в формате PEM, используйте эту команду:

 openssl pkcs12 -info -in INFILE.p12 -nodes 

Затем вам будет предложено ввести пароль файла PKCS # 12:

 Введите пароль для импорта: 

Введите пароль, введенный при создании файла PKCS # 12, и нажмите , введите . OpenSSL выведет на экран все сертификаты и закрытые ключи из файла:

 Bag Attributes localKeyID: AC 3E 77 9A 99 62 84 3D 77 CB 44 0D F9 78 57 7C 08 28 05 97 subject = / CN = Аарон Рассел/emailAddress=*********@gmail.com эмитент = / C = США / ST = Техас / L = Хьюстон / O = SSL Corp / CN = SSL.com Сертификат клиента Промежуточный CA RSA R1 ----- НАЧАТЬ СЕРТИФИКАТ ----- MIIF1DCCA7ygAwIBAgIQcOrAJCMayJsZBKJsyz / aQDANBgkqhkiG9w0BAQsFADB + MQswCQYDVQQGEwJVUzEOMAwGA1UECAwFVGV4YXMxEDAOBgNVBAcMB0hvdXN0b24x ETAPBgNVBAoMCFNTTCBDb3JwMTowOAYDVQQDDDFTU0wuY29tIENsaWVudCBDZXJ0 ... bwK6ABAZUq6QcvhD0LYsXya + ncDCR6wxb9E0DWd4ATQMzxGTu / yE3kT + 9Ef6IY + n armh4HZUfan2Hb64YD0tjLMca / PC + sKAZu28gB / 3HQRHIFugvh6RO3bIoorl0jUg 1Ml2r83 ++ biS0HL6JdcwuuUF ----- КОНЕЦ ЧАСТНОГО КЛЮЧА ----- 

Зашифровать закрытый ключ

Если вы хотите зашифровать закрытый ключ и защитить его паролем перед выводом, просто опустите флаг -nodes в команде:

 openssl pkcs12 -info -in INFILE.p12 

В этом случае вам будет предложено ввести и проверить новый пароль после того, как OpenSSL выведет какие-либо сертификаты, а закрытый ключ будет зашифрован (обратите внимание, что текст ключа начинается с ----- BEGIN ENCRYPTED PRIVATE КЛЮЧ ----- ):

 Введите парольную фразу PEM: Проверка - введите парольную фразу PEM: ----- НАЧАТЬ ЗАПИСАННЫЙ ЧАСТНЫЙ КЛЮЧ ----- MIIFDjBABgkqhkiG9w0BBQ0wMzAbBgkqhkiG9w0BBQwwDgQIGwhJIMXRiLQCAggA MBQGCCqGSIb3DQMHBAiXdeymTYuedgSCBMjwGg78PsqiNJLfpDFbMxL98u3tK9Cs ... SGVCCBj5vBpSbBXAGbOv74h5satKmAMgGc8SgU06geS9gFgt / wLwehMJ / h5BSmex 4S / 2tYzZrDBJkfH9JpggubYRTgwfAGY2BkX03dK2sqfu + QVTVTKMj2VI0sKcFfLZ bdw = ----- КОНЕЦ ЗАШИФРОВАННОГО ЧАСТНОГО КЛЮЧА ----- 

Извлечь только сертификаты или закрытый ключ

Если вы хотите вывести только закрытый ключ, добавьте -nocerts к команде:

 openssl pkcs12 -info - в INFILE.p12 -nodes -nocerts 

Если вам нужны только сертификаты, используйте -nokeys (и, поскольку нас не интересует закрытый ключ, мы также можем безопасно опустить -nodes ):

 openssl pkcs12 - info -в INFILE.p12 -nokeys 

Сохранение сертификатов и закрытых ключей в файлы

Вы можете экспортировать сертификаты и закрытый ключ из файла PKCS # 12 и сохранить их в формате PEM в новый файл, указав имя выходного файла:

 openssl pkcs12 -in INFILE.p12 -out OUTFILE.crt -nodes 

Вам снова будет предложено ввести пароль для файла PKCS # 12. Как и раньше, вы можете зашифровать закрытый ключ, удалив флаг -nodes из команды и / или добавив -nocerts или -nokeys для вывода только закрытого ключа или сертификатов.Итак, чтобы сгенерировать файл закрытого ключа, мы можем использовать эту команду:

 openssl pkcs12 -in INFILE.p12 -out OUTFILE.key -nodes -nocerts 

И чтобы создать файл, содержащий только сертификаты, используйте это:

 openssl pkcs12 -in INFILE.p12 -out OUTFILE.crt -nokeys 

Преобразование закрытого ключа в формат PKCS # 1

Все приведенные выше примеры выводят закрытый ключ в формате OpenSSL по умолчанию PKCS # 8 . Если вы знаете, что вместо этого вам требуется PKCS # 1 , вы можете направить вывод утилиты PKCS # 12 OpenSSL в ее утилиту RSA или EC в зависимости от типа ключа.Обе команды ниже выведут файл ключа в формате PKCS # 1:

RSA

 openssl pkcs12 -in INFILE.p12 -nodes -nocerts | openssl rsa -out OUTFILE.key 

ECDSA

 openssl pkcs12 -in INFILE.p12 -nodes -nocerts | openssl ec -out OUTFILE.key 

Примечание: Вы можете определить разницу между файлами закрытого ключа PKCS # 8 и PKCS # 1, посмотрев на первую строку текста. В файлах PKCS # 1 будет указан алгоритм:
----- BEGIN RSA PRIVATE KEY -----

Файлы PKCS # 8 не отображают алгоритм и также могут быть зашифрованы:
---- -НАЧАТЬ ЧАСТНЫЙ КЛЮЧ -----
или
----- НАЧАТЬ ЗАШИФРОВАННЫЙ ЧАСТНЫЙ КЛЮЧ -----


Благодарим вас за выбор SSL.ком! Если у вас есть какие-либо вопросы, свяжитесь с нами по электронной почте [email protected], позвоните по телефону 1-877-SSL-SECURE или просто нажмите ссылку чата в правом нижнем углу этой страницы. .

openssl - Извлечь открытый ключ из сертификата в формате DER

Переполнение стека
  1. Около
  2. Продукты
  3. Для команд
  1. Переполнение стека Общественные вопросы и ответы
  2. Переполнение стека для команд Где разработчики и технологи делятся частными знаниями с коллегами
.

Получить сертификат SSL с сервера (URL сайта) - Экспорт и загрузка

Когда-нибудь вам может потребоваться получить SSL-сертификат веб-сайта и сохранить его локально.

Например, вы можете получить сообщение об ошибке, в котором говорится, что вы не можете клонировать репозиторий Git из-за самозаверяющего сертификата, и для решения этой проблемы вам нужно будет загрузить сертификат SSL и сделать его доверенным для вашего клиента Git.

В следующей статье я покажу, как экспортировать сертификат SSL с сервера (URL сайта) с помощью браузеров Google Chrome, Mozilla Firefox и Internet Explorer, а также как получить сертификат SSL из командной строки с помощью команды openssl .

Дельный Совет: Создайте самоподписанный сертификат SSL! Узнать больше →

Экспорт SSL-сертификата

Google Chrome

Экспорт SSL-сертификата веб-сайта с помощью Google Chrome:

  1. Нажмите кнопку Secure (замок) в адресной строке
  2. Нажмите кнопку Показать сертификат кнопку
  3. Перейти на вкладку Подробности
  4. Нажмите кнопку Экспорт
  5. Укажите имя файла, в который вы хотите сохранить сертификат SSL, сохраните формат «ASCII в кодировке Base64, единый сертификат» и нажмите кнопку Сохранить .

Mozilla Firefox

Экспорт SSL-сертификата веб-сайта с помощью Mozilla Firefox:

  1. Нажмите кнопку Site Identity (замок) в адресной строке
  2. Нажмите Показать сведения о подключении стрелка
  3. Нажмите кнопку Дополнительная информация
  4. Нажмите кнопку Просмотреть сертификат кнопку
  5. Перейти на вкладку Подробности
  6. Нажмите кнопку Экспорт
  7. Укажите имя файла, в который вы хотите сохранить сертификат SSL, оставьте «X.509 Certificate (PEM) »и нажмите кнопку Сохранить

Дельный Совет: Проверьте дату истечения срока действия SSL-сертификата из командной строки Linux! Самый быстрый способ! Узнать больше →

Internet Explorer

Загрузите и сохраните сертификат SSL веб-сайта с помощью Internet Explorer:

  1. Нажмите кнопку Отчет о безопасности (замок) в адресной строке
  2. Нажмите кнопку Просмотреть сертификат кнопку
  3. Перейти на вкладку Подробности
  4. Щелкните Копировать в файл... кнопка
  5. Нажмите кнопку Далее
  6. Выберите формат «X.509 (.CER) в кодировке Base-64» и нажмите кнопку Далее
  7. Укажите имя файла, в котором вы хотите сохранить сертификат SSL на
  8. Нажмите кнопки Next и Finish

OpenSSL

Получите SSL-сертификат веб-сайта с помощью команды openssl :

 $ echo | openssl s_client -servername  NAME  -connect  HOST: PORT  | \ sed -ne '/ -BEGIN CERTIFICATE - /, / - END CERTIFICATE- / p'> сертификат.crt 

Краткое объяснение:

Опция Описание
-соединить ХОСТ: ПОРТ Хост и порт для подключения к
- имя сервера ИМЯ Расширение TLS SNI (указание имени сервера) (веб-сайт)
certificate.crt Сохранить сертификат SSL в этот файл

Пример:

 $ echo | openssl s_client -servername google.com -connect google.com:443 | \ sed -ne '/ -BEGIN CERTIFICATE - /, / - END CERTIFICATE- / p'> certificate.crt 
.

Как извлечь сертификат пакета и загрузить на сервер Expressway

Введение

В этом документе описывается процесс извлечения сертификата Bundle и его загрузки на сервер Expressway.

Предварительные требования

Требования

Cisco рекомендует знать следующие темы:

  • Сервер скоростной автомагистрали
  • ПК с Windows

Используемые компоненты

Этот документ не ограничивается конкретными версиями программного и аппаратного обеспечения.

Информация в этом документе была создана на устройствах в определенной лабораторной среде. Все устройства, используемые в этом документе, были запущены с очищенной (по умолчанию) конфигурацией. Если ваша сеть активна, убедитесь, что вы понимаете потенциальное влияние любой команды.

Извлечь сертификат пакета и загрузить на сервер Expressway

Шаг 1. Откройте BASE64 , и вы увидите экран, как показано на рисунке. Откройте папку под Logical Store Name .

Шаг 2. Откройте цепочку, и вы увидите все сертификаты в файле сертификата (один сертификат сервера и три корневых / промежуточных сертификата).

Шаг 3. Щелкните правой кнопкой мыши сертификат, который вы хотите загрузить, выберите Все задачи > Экспорт.

Шаг 4. Откроется окно мастера экспорта сертификатов.


Шаг 5. Выберите Next , затем Base-64 Encoded X.509 вариант, затем Далее.

Шаг 6. Появится новая страница, выберите Обзор, , затем во всплывающем окне введите имя файла для сертификата, затем выберите Сохранить.

Шаг 7. Это действие вернет вас на страницу Обзор с путем в Имя файла , выберите Далее .

Шаг 8. Выберите Завершить в следующем окне, появится небольшое окно с сообщением Экспорт выполнен успешно .Сертификат сохраняется по выбранному пути.

Шаг 9. Вы должны повторить этот процесс для каждого сертификата в цепочке.

Загрузить сертификаты на сервере Expressway

Для корневых / промежуточных сертификатов перейдите на веб-страницу Expressway > Maintenance > Security Certificate > Trusted CA List > Browse. Теперь выберите Сертификат, а затем Добавьте сертификат CA .(Этот процесс для каждого сертификата).

Чтобы загрузить сертификат сервера, перейдите на веб-страницу Expressway > Обслуживание > Сертификаты безопасности > Сертификаты сервера .

Примечание : После загрузки сертификата сервера появляется сообщение о том, что для вступления изменений в силу требуется перезагрузка.

.

openssl - Как сохранить открытый ключ из сертификата в формате .pem

Переполнение стека
  1. Около
  2. Продукты
  3. Для команд
  1. Переполнение стека Общественные вопросы и ответы
  2. Переполнение стека для команд
.

Смотрите также