====== OpenSSL ======
OpenSSL permet la manipulation des certificats. Voici les commandes les plus communes.

===== Création de certificat =====
Générer une nouvelle demande de certification et faire une nouvelle clé privé.
<code>
openssl req -out CSR.csr -new -newkey rsa:2048 -sha256 -nodes -keyout privateKey.key
</code>

Créer un nouveau certificat autosigné.
<code>
openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout privateKey.key -out certificate.crt
</code>

Générer une demande de certificat pour une clé existante.
<code>
openssl req -out CSR.csr -key privateKey.key -sha256 -new
</code>

Générer une nouvelle demande de certification basé sur l'ancienne.
<code>
openssl x509 -x509toreq -in certificate.crt -out CSR.csr -signkey privateKey.key
</code>

Retirer le mot de passe d'une clé.
<code>
openssl rsa -in privateKey.pem -out newPrivateKey.pem
</code>

===== Vérification des certificats =====
Vérifier une requette de certification.
<code>
openssl req -text -noout -verify -in CSR.csr
</code>

Vérifier une clé privé.
<code>
openssl rsa -in privateKey.key -check
</code>
Vérifier un certificat.
<code>
openssl x509 -in certificate.crt -text -noout
</code>

Vérifier un fichier PKCS#12
<code>
openssl pkcs12 -info -in keyStore.p12
</code>

Vérifier qu'une clé privé et un certificat vont ensembles. Il faut vérifier que les deux commandes ci-dessous retourne le même modulus.
<code>
openssl rsa -in mykey.pem -noout -modulus
openssl x509 -in mycertificate.pem -noout -modulus
</code>

===== Debug d'une connexion =====
Pour afficher les certificats d'une connexion.
<code>
openssl s_client -showcerts -connect exemple.com:443 </dev/null
</code>

Afficher les données d'une certificat.
<code>
openssl s_client -showcerts -connect exemple.com:443 </dev/null | openssl x509 -noout -text
</code>

Afficher les informations du sujet et dates de validité.
<code>
openssl s_client -showcerts -connect exemple.com:443 </dev/null | openssl x509 -noout -subject -dates
</code>

===== Conversions =====
Convertir un fichier DER (.crt .cer .der) en PEM
<code>
openssl x509 -inform der -in certificate.cer -out certificate.pem
</code>

Convertir un fichier PEM en DER
<code>
openssl x509 -outform der -in certificate.pem -out certificate.der
</code>

Convertir un fichier PKCS#12 (.pfx .p12) contenant une clé et un certificat en PEM
<code>
openssl pkcs12 -in keyStore.pfx -out keyStore.pem -nodes
</code>

<note tip>Vous pouvez ajouter ''-nocerts'' pour exporter uniquement la clé privé ou ajouter ''-nokeys'' pour exporter uniquement le certificat.</note>

Convertir un fichier PEM et une clé en un fichier PKCS#12 (.pfx .p12)
<code>
openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt
</code>