OpenSSL 자주 쓰는 명령어(command) 및 사용법, tip 정리

Owned by 정광섭
Last updated: 2021-Jun-23
6 min read

HTTPS 설정, 데이타 암복호등 OpenSSL 을 활용할 일이 많으므로 사례별로 자주 사용하는 명령어를 정리했습니다.

암호에 대한 대략적인 소개는 slideshare 에 공개한 "암호화 이것만 알면 된다" 를 참고하세요


설치

RHEL/CentOS Linux 는 기본 패키지에 포함되어 있으므로 별도 설치를 안해도 됩니다. Windows 나 기타 Unix 에서 설치는 OpenSSL 컴파일(compile) & 빌드(build) 참고하세요


설치된 openssl  의 version 은 다음 명령어로 확인할 수 있습니다.

$ openssl version


OpenSSL 1.0.2o  27 Mar 2018


인증서 정보 보기

openssl 로 x509 인증서 파싱( certificate parsing )하기 참고


개인키(PrivateKey)

RSA 2048 키 생성 및 개인키를 AES256 으로  암호화

  • 암호( pass phrase)는 asdfasdf 이며 입력창을 띄우지 않고 커맨드에서 바로 설정( -passout 옵션)
openssl genrsa -aes256 -passout pass:asdfasdf -out aes-pri.pem 2048


위에서 생성한 개인키 복호화하여 RSA Private Key 추출

openssl rsa -outform der -in aes-pri.pem -passin pass:asdfasdf -out aes-pri.key

pass phrase 와 암호화 알고리즘 변경

  • 알고리즘:  Triple DES → AES256
  •  Pass phrase : asdfasdf -> new-password
openssl rsa -aes256 -in aes-pri.pem -passin pass:asdfasdf  -passout pass:new-password  -out aes-pri.key



개인키(PrivateKey) pass phrase 해독

OpenSSL 로 개인 키(Private Key) 비밀 구절(Pass Phrase) 해독 및 암호화 참고하세요.

개인키(PrivateKey) pass phrase 설정

OpenSSL 로 개인 키(Private Key) 비밀 구절(Pass Phrase) 해독 및 암호화 참고하세요.


pkcs#8 방식의 개인키 해독

Private-Key Information Syntax Specification 방식으로 암호화된 RSA PrivateKey 를 해독하려면 아래 명령을 사용합니다.

openssl pkcs8 -inform der -in pkcs8-pri.key -out rsa-pri.key

PKCS#8 파일은 binary 형식(DER) 과 text 형식(PEM) 이 있을 수 있으며 에디터로 열었을 때 -----BEGIN ENCRYPTED PRIVATE KEY----- 로 시작하는 경우 PEM 이며 깨지는 문자가 있을 경우 DER 입니다.

PKCS8 PEM 예제

-----BEGIN ENCRYPTED PRIVATE KEY-----
MIIFHzBJBgkqhkiG9w0BBQ0wPDAbBgkqhkiG9w0BBQwwDgQITJWLw/UHoM0CAggA


PEM 형식일 경우 -inform der 구문대신 -inform pem 을 사용하면 됩니다.


pkcs#8 로 변환

개인키의 pass phrase 를 PKCS#8 형식으로 변환

openssl pkcs8 -topk8 -v2 aes128 -in aes-pri.pem -out aes-strong.key -outform der -passout pass:asdfasdf
  • -topk8 : output PKCS8 file
  • -v2 aes128 : PKCS#5 Ver 2.0 사용 및 aes128 사용


HTTPS 연결의 인증서 디버깅

HTTPS 디버깅(httpd 의 SSLCertificateChainFile, SSLCACertificateFile 정상 설정 여부 확인등)이나 curl 등의 ca bundle 에 등록하기 위한 목적으로 서버가 사용하는 SSL 인증서를 추출할 경우 아래 명령어 사용

openssl s_client -debug -connect ssl.example.com:443

CMS (PKCS#7, S/MIME)  

cms(Cryptographic Message Syntax) 명령어는 S/MIME v3.1 mail 이나 PKCS#7 형식의 데이타를 처리하는 명령어로 주요 옵션은 다음과 같다.

  • -verify : 전자서명 검증 수행
  • -in : 검증할 전자서명 데이타 파일
  • -certfile : 검증에 사용할 인증서 파일(전자 서명 데이타내에 인증서가 없을 경우 필요 - 생성시 -nocerts 으로 생성했을 경우)
  • -out : 검증후 원본을 저장할 파일명
  • -content : 검증에 사용할 원본 파일
  • -CAfile : 인증서 발급 체인(CA 인증서 묶음. PEM 형식으로 연접해서 작성해 주면 되며 예제는 curl 에 포함된 ca인증서 번들 파일 참고 - /etc/pki/tls/certs/ca-bundle.crt)

signeddata 검증

DER 로 인코딩된 cms signed-data 형식인 inputfile 을 검증하고 원본을 content 라는 파일로 저장. 

openssl cms -verify -in signedData.ber -inform DER  -out content


인증서 체인 지정

signed-data 안에 인증서 체인이 없을 경우 다음과 같은 에러가 발생한다.

certificate verify error:cms_smime.c:304:Verify error:unable to get local issuer certificate

CA 인증서를 PEM 형식의 파일(Ex: ca-file) 으로 만든 후에  -CAfile file 옵션을 추가하면 검증시 사용할 CA 인증서를 지정해 줄 수 있다.

openssl cms -verify -in signedData.ber -inform DER  -out content -CAfile ca-file


detached signeddata 검증

서명에 사용된 컨텐츠가 CMS Signed Data 내에 없거나 또는 있어도 강제로 외부 파일을 사용할 경우 -content file 옵션으로 파일을 지정하면 된다.

openssl cms -verify -in signedData.ber -inform DER  -out content -CAfile ca-file -content origFile


signeddata 생성

PEM 형식으로 된 인증서와 개인키를 사용하여 전자 서명 데이타 생성

openssl cms  -sign -in contents.pdf -aes128 -nosmimecap -signer sign-cert.pem -inkey sign-key.pem -outform DER -nodetach  -out signed-data.ber
  • -sign : 전자 서명 데이타 생성
  • -in : 전자서명할 원본 데이타
  • -nodetach:  전자서명 데이타에 원본 첨부
  • -nosmimecap:
  • -noattr: 전자서명 데이타에 어떤 signed attributes 도 포함하지 않음.


envelop  data 생성

CMS envelopedData data 생성(대칭키를 생성후 원본을 암호화한 후에 상대방 인증서의 공개키로 대칭키를 암호한 데이타 형식)

openssl cms -encrypt -in contents.pdf -aes256 -recip sign-cert.pem -outform DER -out enveloped-data.ber
  • -encrypt: encrypt 데이타 생성

  • -in : 암호화할 원본 데이타

  • -aes256 : AES256 으로 암호화(-aes128, -seed, -camellia128 등의 알고리즘 사용 가능)
  • -recip: 데이타를 수신할 상대방의 인증서(이 안에 있는 공개키로 암호화하므로 상대방 인증서를 정확히 넣어주어야 함)

envelop  data 해독

openssl cms -decrypt -in enveloped-data.ber -inform der -inkey kmpri.pem
  • -decrypt : 1123
  • -in : 해독할 enveloped data 파일
  • -inform : 파일의 포맷. 기본값은 PEM 이며 der 인코딩되었을 경우 der 추가
  • -inkey: 복호화할 개인키

-decrypt 시 -out 옵션이 통하지 않으므로 > 로 원본 파일을 저장해야 함

openssl cms -decrypt -in enveloped-data.ber -inform der -inkey kmpri.pem > contents

PKCS#12

Check a Certificate Signing Request (CSR) - PKCS#10

openssl req -text -noout -verify -in CSR.csr

pkcs12 생성

p12 파일 생성

openssl pkcs12 -export -in cert.pem -inkey pri-key.pem -out file.p12 -name "My Certificate"
  • -export : PKCS#12 파일 생성
  • -in : p12 에 들어갈 인증서
  • -inkey: 포함시킬 개인키
  • -out : 생성될 p12 파일명
  • -name: 첨부 그림처럼 friendlyName 에 들어갈 이름이며 Java 에서 KeyStore 로 접근시 alias 항목이 되므로 필수로 입력해야 한다. openssl 은 입력되지 않았을 경우 인증서의 해시값을 설정하는 것 같다.
     
  • -descert :  p12 내 인증서 항목을 Triple DES 로 암호화(기본값 RC2-40) - 인증서는 공개하는 용도이므로 크게 의미 없는 옵션
  • -des3 : encrypt private keys with triple DES (default)
  • -aes128 : 개인키를 AES128 로 암호화(권장)
  • -keypbe alg: specify private key PBE algorithm (default 3DES)


기타 인증서를 포함하여 p12 생성

openssl pkcs12 -export -in cert.pem -inkey pri-key.pem -out file.p12 -name "My Certificate" \
  -certfile othercerts.pem
  • -certfile : 포함시킬 추가 인증서

Check a PKCS#12 file (.pfx or .p12)

PKCS#12 정보 출력

openssl pkcs12 -info -in keyStore.p12


PKCS#12 내 인증서를 파일로 저장(-clcerts -nokeys)

openssl pkcs12 -in file.p12 -clcerts -nokeys -out file.crt


PKCS#12 내 개인키를 파일로 저장

openssl pkcs12 -in file.p12 -nocerts -out file.key


PKCS#12 내 개인키에 pass phrase 를 적용하지 않고 파일로 저장

openssl pkcs12 -in file.p12 -out file.pem -nodes


OCSP

인증서는 PEM 형식이어야 함.

OCSPRequest 생성

lesstif.cer 인증서를 검증하기 위한 OCSPRequest 를 생성하여 파일(ocsp-req.ber)로 저장. -issuer 옵션에는 인증기관 인증서를 입력

openssl ocsp -issuer myca.cer -cert lesstif.cer -reqout ocsp-req.ber

ocsp 로 인증서 검증

위에서 생성한 OCSPRequest 를 읽어서 -url 로 지정된 OCSP 서버에서 인증서 검증 요청

openssl ocsp -reqin ocsp-req.ber -text -url http://myocsp.server.com:8080/ocsp


검증할 인증서를 읽어서 검증 요청

openssl ocsp -issuer myca.cer -cert lesstif.cer  -text -url http://myocsp.server.com:8080/ocsp


ocsp asn 파싱

-reqin 으로 지정된 파일로부터 OCSPRequest 형식의 데이타를 읽어서 출력

$ openssl ocsp -reqin ocsp-req.ber -text
 
OCSP Request Data:
    Version: 1 (0x0)
    Requestor List:
        Certificate ID:
          Hash Algorithm: sha1
          Issuer Name Hash: D530654290FA7C42771A7566518BB1420AB04CE0
          Issuer Key Hash: 4D5D560A0703DF83CAF3D56D8F19FC12AC90A28A
          Serial Number: 598E19F6
    Request Extensions:
        OCSP Nonce: 
            0410D8F5A2A55605873CBEBB043FCA79022A

TSA(Time Stamp Authority)

ts 생성

openssl ts -query -data mydata.txt -no_nonce -sha1 -out design1.tsq


print

openssl ts -query -in design1.tsq -text

ASN1Parse

UTF8String 생성

UTF8String 을 생성해서 utf8string.der 파일로 저장


openssl asn1parse -genstr "UTF8:헬로 World" -out utf8string.der


UTF8String file 로 부터 파싱

생성된 ASN1 파일로 부터 파싱

openssl asn1parse -inform DER -in utf8string.der


UTCTime 생성

openssl asn1parse -genstr "UTCTIME:970909034126Z" -out utctime.der

UTCTime  파싱

openssl asn1parse -inform DER -in utctime.der


OctetString 생성

확인 필요


"Hello World" 라는 문자열을 Octet string 으로 생성해서 octetstring.der 로 저장

openssl asn1parse -genstr "OCTETSTRING:Hello World"   -out octetstring.der

contents 라는 파일을 octet string 으로 생성하여 octetstring.der 로 저장
openssl asn1parse -genstr "OCTETSTRING" -in contents  -out octetstring.der

알고리즘 속도 측정

openssl speed 명령어로 측정 가능

$ openssl speed -h


다음은 aes-128-cbc 와 rsa 2014 를 비교하는 명령

$ openssl speed aes-128-cbc rsa1024


Doing aes-128 cbc for 3s on 16 size blocks: 22920078 aes-128 cbc's in 3.00s
Doing aes-128 cbc for 3s on 64 size blocks: 6343026 aes-128 cbc's in 3.00s
Doing aes-128 cbc for 3s on 256 size blocks: 1621301 aes-128 cbc's in 3.00s
Doing aes-128 cbc for 3s on 1024 size blocks: 408313 aes-128 cbc's in 3.00s
Doing aes-128 cbc for 3s on 8192 size blocks: 51219 aes-128 cbc's in 3.00s

Doing 1024 bit private rsa's for 10s: 52898 1024 bit private RSA's in 10.00s
Doing 1024 bit public rsa's for 10s: 907416 1024 bit public RSA's in 9.99s

OpenSSL 1.0.1e-fips 11 Feb 2013



같이 보기


Ref