*
einen SSL-Port auf Zertifikate abfragen
openssl s_client -connect localhost:636 -showcerts
*
ein SSL-Zertifikat prüfen
openssl verify -CApath /etc/pki/tls/certs -verbose
*
Herausgeber des Zertifikats ausgeben
openssl x509 -noout -issuer -in
*
Zertifikats-Fingerprint ermitteln
openssl x509 -noout -fingerprint -in
*
ein SSL-Zertifikat anzeigen
# Zertifikat komplett anzeigen
openssl x509 -noout -text -in
# den Herausgeber des Zertifikats anzeigen
openssl x509 -noout -issuer -in
# Für wen wurde das Zertifikat ausgestellt?
openssl x509 -noout -subject -in
# Für welchen Zeitraum ist das Zertifikat gültig?
openssl x509 -noout -dates -in
# das obige kombiniert anzeigen
openssl x509 -noout -issuer -subject -dates -in
# den hash anzeigen
openssl x509 -noout -hash -in
# den MD5-Fingerprint anzeigen
openssl x509 -noout -fingerprint -in
*
einen CSR (Zertifikatsrequest) anzeigen
openssl req -noout -text -in
*
Passphrase für ein Keyfile entfernen
openssl rsa -in -out
*
Passphrase für ein Keyfile ändern
openssl rsa -des3 -in -out
*
einen CSR + Keyfile erzeugen (für die Beantragung eines echten Zertifikats). Das sendet man danach an die zertifizierende Stelle, z.B. Thawte etc.
# 2048 Bit RSA-Key erzeugen
openssl genrsa -out 2048
# den CSR dazu erzeugen
openssl req -new -key -out
# den Key mit einer Passphrase versehen
openssl rsa -des3 -in -out