OpenSSL

Einführung
Installation/Konfiguration
Vordefinierte Konstanten
Schlüssel/Zertifikat Parameter
Zertifikatprüfung
OpenSSL Funktionen
- openssl_cipher_iv_length — Gets the cipher iv length
- openssl_csr_export_to_file — Exportiert ein CSR in eine Datei
- openssl_csr_export — Exportiert einen CSR als Zeichenkette
- openssl_csr_get_public_key — Gibt den öffentlichen Schlüssel eines CERT zurück
- openssl_csr_get_subject — Gibt das Subject eines CERT zurück
- openssl_csr_new — Erzeugt einen CSR
- openssl_csr_sign — Signiert einen CSR mit einem anderen Zertifikat (oder sich selbst) und generiert ein Zertifikat
- openssl_decrypt — Decrypts data
- openssl_dh_compute_key — Computes shared secret for public value of remote DH key and local DH key
- openssl_digest — Computes a digest
- openssl_encrypt — Encrypts data
- openssl_error_string — Gibt eine openSSL Fehlermeldung zurück
- openssl_free_key — Free key resource
- openssl_get_cipher_methods — Gets available cipher methods
- openssl_get_md_methods — Gets available digest methods
- openssl_get_privatekey — Alias von openssl_pkey_get_private
- openssl_get_publickey — Alias von openssl_pkey_get_public
- openssl_open — Öffnet versiegelte Daten
- openssl_pkcs12_export_to_file — Exportiert eine PKCS#12-kompatible Zertifikats-Datei
- openssl_pkcs12_export — Exportiert eine PKCS#12-kompatible Zertifikats-Datei in eine Variable
- openssl_pkcs12_read — Speichert ein PKCS#12 Zertifikat in einem Array
- openssl_pkcs7_decrypt — Entschlüsseln einer S/MIME verschlüsselten Nachricht
- openssl_pkcs7_encrypt — Verschlüsseln einer S/MIME Nachricht
- openssl_pkcs7_sign — Signieren einer S/MIME message
- openssl_pkcs7_verify — überprüft die Unterschrift einer mit S/MIME unterschriebenen Nachricht
- openssl_pkey_export_to_file — Liefert eine exportierbare Representation eines Schlüssels in einer Datei
- openssl_pkey_export — Liefert eine exportierbare Repräsentation eines Schlüssels in einem String
- openssl_pkey_free — Gibt einen privaten Schlüssel frei
- openssl_pkey_get_details — Gibt ein Array mit den Schlüssel-Details zurück
- openssl_pkey_get_private — Liefert einen privaten Schlüssel
- openssl_pkey_get_public — Extrahiert einen öffentlichen Schlüssel aus einem Zertifikat und bereitet diesen zur Nutzung vor
- openssl_pkey_new — Erzeugt einen neuen privaten Schlüssel
- openssl_private_decrypt — Entschlüsselt Daten mit einem privaten Schlüssel
- openssl_private_encrypt — Verschlüsselt Daten mit einem privaten Schlüssel
- openssl_public_decrypt — Entschlüsselt Daten mit einem öffentlichen Schlüssel
- openssl_public_encrypt — Verschlüsselt Daten mit einem öffentlichen Schlüssel
- openssl_random_pseudo_bytes — Generate a pseudo-random string of bytes
- openssl_seal — Versiegelt (verschlüsselt) Daten
- openssl_sign — Erzeugen einer Signatur
- openssl_verify — Überprüft eine Signatur
- openssl_x509_check_private_key — Überprüft, ob ein privater Schlüssel zu einem Zertifikat passt
- openssl_x509_checkpurpose — Überprüft, ob ein Zertifikat für einen bestimmten Zweck benutzt werden kann
- openssl_x509_export_to_file — Exportiert ein Zertifikat in eine Datei
- openssl_x509_export — Exports a certificate as a string
- openssl_x509_free — Freigabe einer Zertifikats Resource
- openssl_x509_parse — Parst ein X.509-Zertifikat und liefert die Informationen als Array zurück
- openssl_x509_read — Parst ein X.509-Zertitifikat und gibt eine Ressource zurück

Einführung

mhash

[edit] Last updated: Fri, 18 May 2012

add a note User Contributed Notes OpenSSL

Anonymous 07-Oct-2009 07:28


OpenSSL creates asynchronous key pairs, however I wanted to have the private key something that was human-memorizable. With the standard keys generated, this is not possible. How I achieved it was to use two types of encryption.





After generating a key pair with OpenSSL, the public key can be stored in plain text format. I then encrypted the private key itself using regular mcrypt with the human-memorizable key of my choice and converted it to ACSII using base64_encode. Then to get the private key back, I just decrypted it with mcrypt. This way I could store the encrypted private key on the server without worrying about having things stored unencrypted.





Of course, this will only be as good as your human-memorizable key is and can potentially reduce the security of your script if you choose something simple or don't use salts.

bdh dot hall at gmail dot com 29-May-2009 05:18


I was having a heck of a time finding help on making asynchronous encryption/decryption using private key/public key systems working, and I had to have it for creating a credit card module that uses recurring billing.



You'd be a fool to use normal, 'synchronous' or two-way encryption for this, so the whole mcrypt library won't help.



But, it turns out OpenSSL is extremely easy to use...yet it is so sparsely documented that it seems it would be incredibly hard.



So I share my day of hacking with you - I hope you find it helpful!



<?php



if (isset($_SERVER['HTTPS']) )

{

    echo "SECURE: This page is being accessed through a secure connection.<br><br>";

}

else

{

    echo "UNSECURE: This page is being access through an unsecure connection.<br><br>";

}



// Create the keypair

$res=openssl_pkey_new();



// Get private key

openssl_pkey_export($res, $privatekey);



// Get public key

$publickey=openssl_pkey_get_details($res);

$publickey=$publickey["key"];



echo "Private Key:<BR>$privatekey<br><br>Public Key:<BR>$publickey<BR><BR>";



$cleartext = '1234 5678 9012 3456';



echo "Clear text:<br>$cleartext<BR><BR>";



openssl_public_encrypt($cleartext, $crypttext, $publickey);



echo "Crypt text:<br>$crypttext<BR><BR>";



openssl_private_decrypt($crypttext, $decrypted, $privatekey);



echo "Decrypted text:<BR>$decrypted<br><br>";

?>



Many thanks to other contributors in the docs for making this less painful.



Note that you will want to use these sorts of functions to generate a key ONCE - save your privatekey offline for decryption, and put your public key in your scripts/configuration file. If your data is compromised you don't care about the encrypted stuff or the public key, it's only the private key and cleartext that really matter.



Good luck!

koen dot thomeer at pubmed dot be 31-Aug-2008 12:27


For checking the status of a client certificate using OCSP, you can use this script:



<?php

// User variables:

$dir = '/path/to/temp/'; // Directory where apache has access to (chmod 777).

$RootCA = '/path/to/Root.cer'; // Points to the Root CA in PEM format.

$OCSPUrl = 'http://ocsp.url'; //Points to the OCSP URL

// Script:

$a = rand(1000,99999); // Needed if you expect more page clicks in one second!

file_put_contents($dir.$a.'cert_i.pem', $_SERVER['SSL_CLIENT_CERT_CHAIN_0']); // Issuer certificate.

file_put_contents($dir.$a.'cert_c.pem', $_SERVER['SSL_CLIENT_CERT']); // Client (authentication) certificate.

$output = shell_exec('openssl ocsp -CAfile '.$RootCA.' -issuer '.$dir.$a.'cert_i.pem -cert '.$dir.$a.'cert_c.pem -url '.$OCSPUrl);

$output2 = preg_split('/[\r\n]/', $output);

$output3 = preg_split('/: /', $output2[0]);

$ocsp = $output3[1];

echo "OCSP status: ".$ocsp; // will be "good", "revoked", or "unknown"

unlink($dir.$a.'cert_i.pem');

unlink($dir.$a.'cert_c.pem');

?>



It can be ameliorated, but it's just a beginning!



Normally, you can extract the ocsp url from the client certificate. Also, an OCSP request contains only the hash of the issuer name, the hash of the issuer's key, and the serial number of the client certificate. All three can be extracted directly from the client certificate.

add a note