Si gestiona un sitio web o un servidor, asegurarse de que su certificado SSL es válido y está correctamente configurado es una prioridad absoluta. Una forma de hacerlo es con OpenSSL, una popular utilidad criptográfica de código abierto.
Puede utilizar OpenSSL para comprobar la fecha de caducidad, el emisor y el asunto del certificado. En este artículo, le mostraremos cómo verificar un certificado con comandos OpenSSL en Linux. Si usted es un desarrollador web, administrador de sistemas, o simplemente curioso acerca de SSL, esta guía le proporcionará los pasos exactos y líneas de comandos para comprobar los certificados con OpenSSL.
Índice
- ¿Cómo comprobar la versión de OpenSSL?
- Cómo ver todos los detalles del certificado
- Ver el certificado SSL (codificado)
- Compruebe si la clave coincide con el certificado
- Comprobar quién emitió el certificado SSL
- Comprobar a quién se ha emitido el certificado SSL
- Comprobar la validez de un certificado SSL en Linux
- Mostrar toda la información anterior sobre el certificado SSL
¿Cómo comprobar la versión de OpenSSL?
La mayoría de los sistemas Linux tienen OpenSSL preinstalado, pero es mejor asegurarse de tener la última versión en funcionamiento. Puede comprobar su versión de OpenSSL ejecutando el siguiente comando:
openssl versión -a
Los archivos de certificados en Linux se encuentran por defecto en la carpeta /etc/pki/tls/certs o a veces dentro de una carpeta específica de la aplicación como /etc/httpd para Apache. Generalmente utilizan las extensiones .pem o .crt y es probable que se llamen sudominio.pem o sudominio.crt, pero a veces también se utiliza el nombre genérico de archivo “servidor”.
Si ha solicitado el certificado SSL y lo ha instalado en el servidor, ya debería conocer su ubicación y los nombres de los archivos.
Cómo ver todos los detalles del certificado
Puede utilizar OpenSSL para comprobar la validez, el emisor y el asunto del certificado por separado o de una sola vez. Asegúrese de tener acceso a su servidor y terminal SSH.
OpenSSL proporciona una gran variedad de comandos para generar, instalar y gestionar certificados. Para comprobar los detalles de un certificado concreto, ejecute el siguiente comando:
openssl x509 -in /root/mycertificate.crt -text -noout
Utilice este comando de OpenSSL para comprobar la caducidad del certificado, el asunto, el emisor, los detalles de la clave y el algoritmo de firma. Esto es lo que deberías ver:
Ver el certificado SSL (codificado)
OpenSSL le permite ver el certificado SSL en su formato original codificado. Ejecute el siguiente comando para visualizarlo:
$ eco | openssl s_client -servername howtouselinux.com -connect yourplc.com:443 2>/dev/null | openssl x509
Compruebe si la clave coincide con el certificado
Para verificar si las claves pública y privada coinciden, es necesario extraer la clave pública de cada archivo y generar una salida hash para ella. Los tres archivos deben compartir la misma clave pública y el mismo valor hash. A continuación se explica cómo utilizar OpenSSL para comprobar los certificados y los detalles de las claves. Los siguientes comandos para generar un hash de la clave pública de cada archivo:
openssl pkey -pubout -in privateKey.key | OpenSSL SHA256
openssl req -pubkey -in CSR.csr -noout | OpenSSL SHA256
openssl x509 -pubkey -in certificate.crt -noout | OpenSSL SHA256
Comprobar quién emitió el certificado SSL
Si desea comprobar el emisor del certificado SSL, ejecute la siguiente línea de comandos. Le mostrará la Autoridad de Certificación que firmó el certificado.
eco | openssl s_client -servername yourplc.com -connect yourplc.com:443 2>/dev/null | openssl x509 -noout -issuer
Comprobar a quién se ha emitido el certificado SSL
También puede comprobar el asunto del certificado SSL. Según el tipo de validación, verá sólo el nombre común o también el nombre oficial de la empresa.
$ eco | openssl s_client -servername .com -connect howtoyourplcuselinux.com:443 2>/dev/null | openssl x509 -noout -subject
Comprobar la validez de un certificado SSL en Linux
Es importante saber cuándo caduca el certificado SSL, para poder renovarlo con antelación y evitar posibles caídas del sitio web y violaciones de datos. He aquí cómo comprobar la fecha de caducidad del certificado SSL en Linux:
$ eco | openssl s_client -servername howtouselinux.com -connect yourplc.com:443 2>/dev/null | openssl x509 -noout -dates
Mostrar toda la información anterior sobre el certificado SSL
También puede utilizar un comando OpenSSL para comprobar el emisor del certificado, el asunto y la fecha de caducidad con el siguiente comando:
$ eco | openssl s_client -servername howtouselinux.com -connect yourplc.com:443 2>/dev/null | openssl x509 -noout -issuer -subject -dates
Palabras finales
Si algo va mal con su conexión SSL, verificar los detalles de su certificado es el primer paso para encontrar al culpable. En OpenSSL, dispone de una gran utilidad para realizar todo tipo de comprobaciones, desde inspeccionar el emisor del certificado hasta analizar datos técnicos y ver cuándo caduca el certificado. OpenSSL se integra con Linux y permite controlar la instalación de SSL a través de sus flexibles líneas de comandos.
Ahorre un 10% en certificados SSL al realizar su pedido hoy mismo.
Emisión rápida, cifrado potente, 99,99% de confianza del navegador, asistencia dedicada y garantía de devolución del dinero en 25 días. Código del cupón: SAVE10
