====== [CHEATSHEET] Openssl basic commands ======

======Descripción======
Comandos básicos para manejarse con openssl

======OpenSSL standard======
=====Obtener Información=====
====https====
Ver información directamente desde internet:
<code>
openssl s_client -showcerts -connect blog.ciberterminal.net:443
</code>

====crt====
<code>
openssl x509 -text -in cert.crt
</code>
====csr====
<code>
openssl req -noout -text -in cert.csr
</code>
====key====
La key no tiene info, solo se puede ver si se corresponde con un certificado, para ello podemos ver la info de un crt y de la key y ver si son iguales, por ejemplo:
<code>
openssl x509 -noout -modulus -in server.crt | openssl md5
openssl rsa -noout -modulus -in server.key | openssl md5
</code>
Debería darnos la misma suma md5.
A lo rápido podemos usar:

<code>
if [ `openssl x509 -noout -modulus -in server.crt | openssl md5` = `openssl rsa -noout -modulus -in server.key | openssl md5` ] ; \
then echo "La suma coincide" ; else echo "La suma NO COINCIDE!"; fi
</code>
====pem====
<code>
openssl x509 -text -in cert.pem
</code>

====PKCS12 (p12/pfx)====
<code>
openssl pkcs12 -info -in keyStore.p12
</code>

=====Conversion de formatos=====
====KEY+CRT a PEM====
<code>cat server.key server.crt > server.pem</code>

====DER a PEM (cer a crt)====
<code>openssl x509 -inform DER -outform PEM -in cs.atlasit.com.cer -out cs.atlasit.com.crt</code>

====CRT a DER====
<code>
openssl x509 -in input.crt -out input.der -outform DER
</code>

====CRT a PEM====
<code>
openssl x509 -in input.crt -out input.der -outform DER
openssl x509 -in input.der -inform DER -out output.pem -outform PEM
</code>

====PEM a P12/PFX====
<code>
openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt
</code>

=====Cambios=====
====Eliminar password key====
Cuando tengamos una keyfile encriptada con password (<code>-des3</code>) cada vez que reiniciemos el apache, pedirá password, con esto generamos una nueva key sin password:
<code>
openssl rsa -in file.key -out newfile.key
</code>
En caso de que lo que tengamos es un pem (crt+key), se tiene que hacer en 2 pasos:
<code>
openssl rsa -in cert.pem -out newcert.pem
openssl x509 -in cert.pem >> newcert.pem
</code>

----

======OpenSSH======
=====Generar par de claves=====
<code>
ssh-keygen -t rsa -b 2048
</code>
=====Comprobar private-public key=====
<code>
ssh-keygen -l -f id_rsa
</code>
Donde ''id_rsa'' es la priv key
=====Cambiar password=====
<code>
ssh-keygen -p -f id_rsa
</code>
=====Re-generar pub-key=====
<code>
ssh-keygen -y -f ~/.ssh/id_rsa
</code>
=====Copiar pub-key a otro host=====
<code>
ssh-copy-id -i ~/.ssh/id_rsa user@host
</code>
=====Ignorar el warning de Host cambiado=====
<code>
ssh -o "StrictHostKeyChecking no" -l user HOST
</code>
o
<code>
ssh -o StrictHostkeyChecking=no -l user HOSTS
</code>
También se puede añadir al ''.ssh/config'', por supuesto.
----



======Java Keytool======
=====Obtener Información=====
Para ello necesitamos java, por supuesto, por lo que el path puede cambiar:
<code>
keytool -list -v -keystore keystore
</code>
Puede que pida password del keystore, puede ser "changeit", "zimbra" u otro diferente que habrá que "adivinar"
=====Cambios=====
====Añadir certificado a una Truststore====
<code>
keytool -import -keystore KEYSTORE.jks -storepass "changeit" -file MYCERT.crt
</code>

====Eliminar certificado a una Truststore====
<code>
keytool -delete -alias mydomain -keystore keystore.jks
</code>

----
======IBM way======
=====Obtener Información=====
====Listar certificados en un KDB====
<code>
gsk7cmd -certs -list -db KDBFILE.kdb  -pw PASSWORD_DEL_KDB
</code>
Para "ver" el password del kdb, podemos recurrir al passwordfile o stash-file que normalmente se configura en el producto que estamos tratando.
Más abajo pongo un script para "desencriptar" el password del stash-file.

====Ver detalles de un certificado en KDB====
<code>
gsk7cmd -cert -details  -label "IDENTIFICADOR_DEL_CERTIFICADO"  -db KDBFILE.kdb -pw PASSWORD_DEL_KDB
</code>
Donde ''IDENTIFICADOR_DEL_CERTIFICADO'' es el nombre del certificado que obtenemos de la lista.

Podemos obtener todavía más información añadiendo la flag ''-showOID'':
<code>
gsk7cmd -cert -details -showOID -label "IDENTIFICADOR_DEL_CERTIFICADO"  -db KDBFILE.kdb -pw PASSWORD_DEL_KDB
</code>


=====Conversion=====
====PEM a ARM====
<code>
gawk 'BEGIN {found = 0}; \$0=="-----BEGIN CERTIFICATE-----" {found = 1}; {if (found==1) print \$0}' ${CER_FILE} > ${ARM_CER_FILE}
</code>


=====Otros=====
====Desencriptar password de stash-file====
<code>vi unstash.pl</code>
<code>use strict;

die "Usage: $0 <stash file>\n" if $#ARGV != 0;

my $file=$ARGV[0];
open(F,$file) || die "Can't open $file: $!";

my $stash;
read F,$stash,1024;

my @unstash=map { $_^0xf5 } unpack("C*",$stash);

foreach my $c (@unstash) {
    last if $c eq 0;
    printf "%c",$c;
}
printf "\n";
</code>
Se puede ejecutar de forma habitual:
''perl unstash.pl STASH-FILE.sth''

----
======Links externos======
  * [[http://www.sslshopper.com/article-most-common-java-keytool-keystore-commands.html|Los comandos más usados para java keytool]]
  * [[http://www.madboa.com/geek/openssl/|Mega-Howto con muchos comandos por el estilo]]
  * [[http://publib.boulder.ibm.com/infocenter/wmbhelp/v7r0m0/topic/com.ibm.etools.mft.doc/bp10610_.htm|ibm howto para gsk7]]