====== OpenSSL kuchařka ======

V celém návodu se používají následující jména: 

    * **private.key** - soubor s nezašifrovaným tajným privátním klíčem 
    * **enciphered_private.key** - soubor se zašifrovaným tajným privátním klíčem 
    * **request.csr** - soubor s certifikační žádostí
    * **certificate.pem** - soubor s certifikátem vydaným uživateli příslušnou CA
    * **CA_chain.pem** - soubor s řetězcem certifikátů vydavatele
    * **certificate.p12** - soubor formátu PKCS12 obsahující uživatelský certifikát, příslušný privátní klíč a řetězec certifikátů CA
    * **my_cert** - label certifikátu a privátního klíče v PKCS12 souboru ("//friendly name//")

\\

==== Jak zjistit verzi OpenSSL ====

Oficiální dokumentace pro [[https://www.openssl.org/docs/manmaster/man1/openssl-version.html|zjištění verze]] OpenSSL.

<code>
openssl version
</code>


==== Jak zjistit verzi OpenSSL s rozšířenými informacemi ====

<code>
openssl version -a
</code>

\\

===== Genenerování privátního klíče =====

Oficiální dokumentace pro [[https://www.openssl.org/docs/manmaster/man1/openssl-genrsa.html|generování privátního klíče]] v OpenSSL.


==== Genenerování zašifrovaného privátního klíče ====

<code>
openssl genrsa -aes256 -out enciphered_private.key 2048
</code>

==== Genenerování nezašifrovaného privátního klíče ====

<code>
openssl genrsa -out private.key 2048
</code>

\\

===== Genenerování certifikační žádosti =====

Oficiální dokumentace pro [[https://www.openssl.org/docs/manmaster/man1/openssl-req.html|generování certifikační žádosti]] v OpenSSL.

==== Generování certifikační žádosti z existujícího privátního klíče ====

<code>
openssl req -new -key private.key -out request.csr
</code>

==== Generování certifikační žádosti spolu se zašifrovaným privátním klíčem ====

<code>
openssl req -new -newkey rsa -keyout enciphered_private.key -pkeyopt rsa_keygen_bits:2048 > request.csr
</code>


==== Generování certifikační žádosti spolu s nezašifrovaným privátním klíčem (OpenSSL verze < 3) ====

<code>
openssl req -new -newkey rsa -keyout private.key -pkeyopt rsa_keygen_bits:2048 -nodes > request.csr
</code>

==== Generování certifikační žádosti spolu s nezašifrovaným privátním klíčem (OpenSSL verze >= 3) ====

<code>
openssl req -new -newkey rsa -keyout private.key -pkeyopt rsa_keygen_bits:2048 -noenc > request.csr
</code>

\\

===== Práce s PKCS12 soubory =====

Oficiální dokumentace pro [[https://www.openssl.org/docs/manmaster/man1/openssl-pkcs12.html|práci s PKCS12 soubory]] v OpenSSL.

==== Generování PKCS12 souboru z certifikátu uživatele, privátního klíče a certifikačního řetězce CA ====

<code>
openssl pkcs12 -export -inkey private.key -in your_certificate.pem -certfile CA_chain.pem -name my_cert -out certificate.p12
</code>


\\

===== Kontrola certifikátu =====

==== Výpis informací o certifikátu v lidsky čitelné podobě ====

<code>
openssl x509 -in certificate.pem -text -noout 
</code>


==== Zjištění, zda si odpovídají privátní klíč, certifikační žádost a certifikát ====

<code>
openssl rsa -noout -modulus -in private.key
openssl req -noout -modulus -in request.csr
openssl x509 -noout -modulus -in certificate.pem
</code>