| Both sides previous revision
Previous revision
Next revision
|
Previous revision
|
sw:security [2024/02/22 10:19]
tomas |
sw:security [2024/07/31 08:17] (current)
tomas |
| do databaze klicu v CA databazi). Pote autorita odesle overeny verejny klic spoku s overenym podpisem autority. CA buze byt but korenova, | do databaze klicu v CA databazi). Pote autorita odesle overeny verejny klic spoku s overenym podpisem autority. CA buze byt but korenova, |
| duveryhodna, nebo intermediate - zretezena - CA overena korenovou CA, nebo CA co byla zretezene overena korenovou CA. | duveryhodna, nebo intermediate - zretezena - CA overena korenovou CA, nebo CA co byla zretezene overena korenovou CA. |
| | **Revokace** - revokovaný certifikát je vydaný certifikát, který se zneplatní. Klient musí kontrolovat, zda je certifikát revokovaný. Lze ověřit pomocí čísla certifikáto, např:\\ |
| | curl http://crl3.digicert.com/DigicertSHA2SecureServerCA-1.crl | openssl crl -inform DER -noout -text|less\\ |
| | curl http://crl4.digicert.com/DigicertSHA2SecureServerCA-1.crl | openssl crl -inform DER -noout -text|less\\ |
| |
| ====Klicenky:==== | ====Klicenky:==== |
| ''echo n | openssl s_client -showcerts -connect www.domain.com:443 | openssl x509 -text'' ... ukaze vsechny zaznamy o certifikatu, vcetne expirace\\ | ''echo n | openssl s_client -showcerts -connect www.domain.com:443 | openssl x509 -text'' ... ukaze vsechny zaznamy o certifikatu, vcetne expirace\\ |
| |
| ''openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt'' ... generovani self-signed verejneho klice pro https komunikaci\\ | ''openssl genrsa -out server.key 2048'' ... vytvoření privátního klíče\\ |
| | ''openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -sha256 -days 365 -nodes'' ... interaktivní generování self-signed verejneho klice pro https komunikaci, nodes - nekoduje privátní klíč\\ |
| | ''openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt'' ... generovani self-signed verejneho klice pro https komunikaci z Certificate requestu\\ |
| | ''openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -sha256 -days 3650 -nodes -subj "/C=XX/ST=StateName/L=CityName/O=CompanyName/OU=CompanySectionName/CN=CommonNameOrHostname"'' ... vstupy z příkazové řádky\\ |
| ''openssl req -new -key domena.key -out domena.csr -sha256 -subj "/C=CZ/L=Brno/O=Firma a.s./OU=tym/emailAddress=email@email.cz/CN=domena.cz" -addext "subjectAltName = DNS:domena1.cz,DNS:domena2"'' ... CSR s Alternate names\\ | ''openssl req -new -key domena.key -out domena.csr -sha256 -subj "/C=CZ/L=Brno/O=Firma a.s./OU=tym/emailAddress=email@email.cz/CN=domena.cz" -addext "subjectAltName = DNS:domena1.cz,DNS:domena2"'' ... CSR s Alternate names\\ |
| | ''openssl req -key dummy.key -new -out a.csr'' ... generování CSR z klíče\\ |
| ''openssl req -text -noout -verify -in CSR.csr'' ... informace o CSR\\ | ''openssl req -text -noout -verify -in CSR.csr'' ... informace o CSR\\ |
| ''openssl x509 -in lipensky.cz.pem -text -noout'' ... informace o klici acs.qacafe.com.pem v textove podobe\\ | ''openssl x509 -in lipensky.cz.pem -text -noout'' ... informace o klici acs.qacafe.com.pem v textove podobe\\ |
| ====ssh==== | ====ssh==== |
| ssh-keygen -f id_rsa -p ... zmena passphrase\\ | ssh-keygen -f id_rsa -p ... zmena passphrase\\ |
| | |
| | ====gpg==== |
| | gpg -k ... seznam klíčů\\ |
| | gpg --output public.pgp --armor --export username@email ... exportovaní veřejného klíče\\ |
| | gpg --output private.pgp --armor --export-secret-key username@email ... exportování soukromého klíče\\ |
| | gpg --import my-key.asc ... import klíče\\ |
| | cat soubor | gpg --decrypt ... rozkódování\\ |
| | |
Except where otherwise noted, content on this wiki is licensed under the following license: GNU Free Documentation License 1.3