OpenSSLチートシート

OpenSSLコマンドのチートシート。証明書確認・生成・変換、鍵操作、SSL/TLS接続テスト、ハッシュ・署名、暗号化・復号をカテゴリ別に整理した実用的なリファレンスです

関連カテゴリ:SSL/TLSセキュリティ

70 件のコマンド

x509 -text

証明書の詳細情報を表示

openssl x509 -in cert.pem -text -noout

x509 -enddate

証明書の有効期限を確認

openssl x509 -in cert.pem -enddate -noout

x509 -startdate

証明書の開始日を確認

openssl x509 -in cert.pem -startdate -noout

x509 -ext SAN

SANs（サブジェクト代替名）を抽出

openssl x509 -in cert.pem -noout -ext subjectAltName

x509 -subject

証明書のサブジェクトを表示

openssl x509 -in cert.pem -subject -noout

x509 -issuer

証明書の発行者を表示

openssl x509 -in cert.pem -issuer -noout

x509 -serial

証明書のシリアル番号を表示

openssl x509 -in cert.pem -serial -noout

x509 -fingerprint SHA256

SHA256フィンガープリントを取得

openssl x509 -in cert.pem -fingerprint -sha256 -noout

x509 -fingerprint SHA1

SHA1フィンガープリントを取得

openssl x509 -in cert.pem -fingerprint -sha1 -noout

verify

証明書チェーンを検証

openssl verify -CAfile ca.pem cert.pem

x509 -purpose

証明書の用途を確認

openssl x509 -in cert.pem -purpose -noout

req -x509 (self-signed)

自己署名証明書を生成

openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes

req -new (CSR)

CSR（証明書署名要求）を生成

openssl req -new -key key.pem -out request.csr

x509 -x509toreq

既存の証明書からCSRを作成

openssl x509 -x509toreq -in cert.pem -signkey key.pem -out request.csr

req -new -newkey

CSRと新しい鍵を同時に生成

openssl req -new -newkey rsa:4096 -nodes -keyout key.pem -out request.csr

x509 -req (CA sign)

CAでCSRに署名して証明書を発行

openssl x509 -req -in request.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -days 365

req -x509 -addext SAN

SAN付き自己署名証明書を生成

openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes -addext "subjectAltName=DNS:example.com,DNS:*.example.com"

req -x509 EC

EC（楕円曲線）証明書を生成

openssl req -x509 -newkey ec -pkeyopt ec_paramgen_curve:P-256 -keyout key.pem -out cert.pem -days 365 -nodes

pkcs12 -export

PKCS12ファイルを作成

openssl pkcs12 -export -out cert.pfx -inkey key.pem -in cert.pem -certfile ca.pem

x509 PEM→DER

PEM形式をDER形式に変換

openssl x509 -in cert.pem -outform DER -out cert.der

x509 DER→PEM

DER形式をPEM形式に変換

openssl x509 -in cert.der -inform DER -outform PEM -out cert.pem

pkcs12 PEM→PKCS12

PEM形式をPKCS12形式に変換

openssl pkcs12 -export -out cert.pfx -inkey key.pem -in cert.pem

pkcs12 PKCS12→PEM

PKCS12形式をPEM形式に変換

openssl pkcs12 -in cert.pfx -out cert.pem -nodes

pkcs12 extract key

PKCS12から秘密鍵を抽出

openssl pkcs12 -in cert.pfx -nocerts -out key.pem -nodes

pkcs12 extract cert

PKCS12から証明書を抽出

openssl pkcs12 -in cert.pfx -clcerts -nokeys -out cert.pem

pkcs7 PKCS7→PEM

PKCS7形式をPEM形式に変換

openssl pkcs7 -in cert.p7b -print_certs -out cert.pem

crl2pkcs7 PEM→PKCS7

PEM形式をPKCS7形式に変換

openssl crl2pkcs7 -nocrl -certfile cert.pem -out cert.p7b

genrsa

RSA秘密鍵を生成

openssl genrsa -out key.pem 4096

ecparam P-256

EC鍵（P-256）を生成

openssl ecparam -genkey -name prime256v1 -noout -out key.pem

ecparam P-384

EC鍵（P-384）を生成

openssl ecparam -genkey -name secp384r1 -noout -out key.pem

genpkey Ed25519

Ed25519鍵を生成

openssl genpkey -algorithm Ed25519 -out key.pem

rsa -text

RSA鍵の詳細を表示

openssl rsa -in key.pem -text -noout

ec -text

EC鍵の詳細を表示

openssl ec -in key.pem -text -noout

rsa -pubout

公開鍵を抽出

openssl rsa -in key.pem -pubout -out pub.pem

rsa (remove passphrase)

パスフレーズを削除

openssl rsa -in encrypted.pem -out decrypted.pem

rsa -aes256

鍵にパスフレーズを追加

openssl rsa -in key.pem -aes256 -out encrypted.pem

key-cert match

鍵と証明書の一致を確認

openssl x509 -in cert.pem -noout -modulus | openssl md5 && openssl rsa -in key.pem -noout -modulus | openssl md5

req -text (CSR)

CSRの詳細を確認

openssl req -in request.csr -text -noout

s_client

SSL/TLS接続をテスト

openssl s_client -connect host:443

s_client -showcerts

証明書チェーンを表示

openssl s_client -connect host:443 -showcerts

s_client -tls1_2

TLS 1.2で接続テスト

openssl s_client -connect host:443 -tls1_2

s_client -tls1_3

TLS 1.3で接続テスト

openssl s_client -connect host:443 -tls1_3

s_client -cipher

指定した暗号スイートで接続

openssl s_client -connect host:443 -cipher ECDHE-RSA-AES256-GCM-SHA384

s_client -servername

SNIを指定して接続

openssl s_client -connect host:443 -servername example.com

s_client STARTTLS SMTP

STARTTLS（SMTP）で接続

openssl s_client -connect mail:25 -starttls smtp

s_client STARTTLS IMAP

STARTTLS（IMAP）で接続

openssl s_client -connect mail:143 -starttls imap

s_client STARTTLS FTP

STARTTLS（FTP）で接続

openssl s_client -connect ftp:21 -starttls ftp

s_client → x509

サーバー証明書のみを取得して表示

openssl s_client -connect host:443 2>/dev/null | openssl x509 -text -noout

s_client -status

OCSPステープリングを確認

openssl s_client -connect host:443 -status

dgst -sha256

SHA256ダイジェストを計算

openssl dgst -sha256 file.txt

dgst -sha512

SHA512ダイジェストを計算

openssl dgst -sha512 file.txt

dgst -md5

MD5ダイジェストを計算

openssl dgst -md5 file.txt

dgst -sign

ファイルに署名

openssl dgst -sha256 -sign key.pem -out sig.bin file.txt

dgst -verify

署名を検証

openssl dgst -sha256 -verify pub.pem -signature sig.bin file.txt

dgst -hmac

HMAC-SHA256を計算

openssl dgst -sha256 -hmac "secret" file.txt

list -digest-algorithms

利用可能なダイジェストアルゴリズムを一覧表示

openssl list -digest-algorithms

base64

Base64エンコード

openssl base64 -in file.bin -out file.b64

enc -aes-256-cbc

ファイルをAES-256-CBCで暗号化

openssl enc -aes-256-cbc -salt -pbkdf2 -in plain.txt -out encrypted.bin

enc -d (decrypt)

暗号化されたファイルを復号

openssl enc -d -aes-256-cbc -pbkdf2 -in encrypted.bin -out plain.txt

enc -a (Base64)

Base64出力で暗号化

openssl enc -aes-256-cbc -salt -pbkdf2 -a -in plain.txt -out encrypted.txt

rand -hex

ランダムなHEXバイトを生成

openssl rand -hex 32

rand -base64

ランダムなBase64バイトを生成

openssl rand -base64 32

rand (password)

ランダムなパスワードを生成

openssl rand -base64 24

list -cipher-algorithms

利用可能な暗号アルゴリズムを一覧表示

openssl list -cipher-algorithms

verify (chain)

中間証明書を含めて証明書を検証

openssl verify -CAfile ca.pem -untrusted intermediate.pem cert.pem

crl -text

CRL（証明書失効リスト）を確認

openssl crl -in crl.pem -text -noout

speed

暗号処理の速度をテスト

openssl speed rsa2048

speed -multi

マルチスレッドで速度テスト

openssl speed -multi 4 aes-256-cbc

version -a

OpenSSLのバージョン情報を表示

openssl version -a

ciphers -v

利用可能な暗号スイートを一覧表示

openssl ciphers -v