Получение цифрового сертификата и создание цифровой подписи. Как выпустить самоподписанный SSL сертификат и заставить ваш браузер доверять ему

В этой статье объясняется, как получить или создать цифровую подпись для использования в документах Office. Чтобы узнать больше о том, как использовать их в документах Office, ознакомьтесь со статьей Добавление и удаление цифровой подписи в файлах Office .

Что такое цифровая подпись?

Цифровая подпись (удостоверение) чаще называется цифровым сертификатом . Для цифрового подписания документа Office требуется действующий цифровой сертификат. Цифровые сертификаты обычно выдаются доверенным центром сертификации (ЦС) - надежной сторонней организацией, которая выпускает цифровые сертификаты. Существует множество коммерческих центров сертификации, у которых вы можете приобрести или бесплатно получить цифровой сертификат. Многие учреждения, правительственные организации и предприятия также могут выдавать свои собственные сертификаты.

Цифровой сертификат необходим для цифровой подписи, так как она предоставляет открытый ключ, который можно использовать для проверки подлинности закрытый ключ, связанной с цифровой подписью. Цифровые сертификаты делают возможным использование цифровых подписей как способ проверка подлинности цифровой информации.

Получение цифровой подписи от центра сертификации или партнера Майкрософт

Если предполагается обмениваться документами, содержащими цифровую подпись, с другими людьми и при этом позволять получателям документов проверять подлинность цифровой подписи, можно получить цифровой сертификат у известного стороннего центра сертификации. Дополнительные сведения можно найти в разделе Поиск цифрового удостоверения или служб цифровых подписей .

Создание цифрового сертификата

Если вы не хотите приобретать цифровой сертификат у стороннего центра сертификации или вам требуется срочно подписать документ, вы можете создать собственный цифровой сертификат.

Чтобы просмотреть хранилище личных сертификатов, выполните указанные ниже действия.

Откройте Internet Explorer.

В меню Сервис выберите пункт Свойства обозревателя , а затем откройте вкладку Содержание .

Нажмите кнопку Сертификаты и откройте вкладку Личные .

Получение цифровой подписи

Если вы пытаетесь подписать документ Office 2007 без цифрового сертификата, появится диалоговое окно и вам будет предложено выбрать, как вы хотите получить цифровую подпись.

У вас есть два варианта:

Подробнее о каждом варианте см. в следующих разделах.

Получение цифровой подписи от партнера Майкрософт

Если вы выбрали вариант Получить цифровое удостоверение от партнера Майкрософт в диалоговом окне Получение цифрового удостоверения , вы будете перенаправлены на веб-сайт Microsoft Office, где вы можете приобрести цифровой сертификат одного из сторонних центров сертификации (ЦС).

Если предполагается обмениваться документами, содержащими цифровую подпись, с другими людьми и при этом позволять получателям документов проверять подлинность цифровой подписи, рекомендуется получить цифровой сертификат у известного стороннего центра сертификации.

Создание собственной цифровой подписи

Если вы не хотите приобретать цифровой сертификат у стороннего центра сертификации или вам требуется срочно подписать документ, вы можете создать собственный цифровой сертификат, выбрав параметр в диалоговом окне Получение цифрового удостоверения .

Создание собственного цифрового сертификата

В диалоговом окне Получение цифрового удостоверения выберите параметр Создать свое цифровое удостоверение .

Важно: Получение цифрового удостоверения появится только в том случае, если попытаться поставить цифровую подпись в документе, не имея цифрового сертификата.

В диалоговом окне Создание цифрового удостоверения введите следующие сведения для цифровой подписи:

• В поле Имя введите свое имя.

  В поле Адрес электронной почты введите свой адрес электронной почты.

  В поле Организация введите название организации или компании.

  В поле Расположение укажите свое географическое местоположение.

Щелкните Создать .

Для создания защищенного соединения между пользователем сетевого ресурса и сервером широко применяются SSL сертификаты , которые являются гарантией того, что передаваемые данные будут надежно зашифрованы и смогут быть прочитаны только владельцем данного SSL сертификата. Подобная схема позволяет исключить утечку информации при передаче сведений о банковской карте клиента, его персональных данных и прочей конфиденциальной информации. Даже в том случае, если поток данных удастся перехватить, расшифровать его без наличия секретного ключа и алгоритма шифрования не представляется возможным.

Процесс создания SSL сертификата самостоятельно — достаточно трудоемкий процесс, требующий немало времени, особенно, если Вы раньше не сталкивались с этим вопросом. Поэтому в некоторых случаях проще получить самый простой сертификат от доверенного центра сертификации, выдача которого занимает всего 5 минут .

Создать SSL сертификат самому можно средствами свободно распространяемого пакета IIS6 Resource Kit Tools. Может потребоваться установка служб. Для этого в Панели управления необходимо выбрать раздел «Программы и компоненты» и в открывшемся окне в меню слева нажать на ссылку «Включение или отключение компонентов Windows». Далее в открывшемся окне нужно включить компонент «Службы IIS».

Что следует учесть перед созданием SSL сертификата?

Прежде чем создать SSL сертификат, следует проанализировать сферу его применения. Данный метод удобен для организации защиты данных на локальном сервере или во внутренней сети предприятия. Но если к сайту, использующему самоподписанный сертификат, обратится посторонний клиент, ему будет выдано уведомление, что создатель сертификата неизвестен и будет предложено выбрать, доверяет ли пользователь этому сертификату или нет. Не все готовы доверить свои личные и тем более финансовые данные неизвестному производителю. Поэтому, если Ваш сайт предполагает работу с внешними посетителями, мы рекомендуем приобрести один из SSL сертификатов доверительного центра сертификации, который занимается этим на профессиональной основе:

Использование доверенного SSL сертификата гарантирует безопасность и исключает риски клиента. К сайтам, использующим проверенных поставщиков сертификатов безопасности, клиенты относятся более лояльно, что обеспечивает более эффективное и выгодное сотрудничество.

Создать SSL сертификат: пошаговая инструкция

Самостоятельно создать SSL сертификат можно, выполнив 4 простых шага:

Привязать SSL сертификат к серверу

После того, как Вы создали SSL сертификат, следует привязать его к IIS-серверу. Для этого вернитесь в раздел «Сертификаты сервера» и в разделе «Подключения» слева выберите сайт, к которому планируете привязать созданный SSL сертификат.

В столбце «Действия» нажмите на «Привязки…».

Необходимость использования электронной подписи возрастает с каждым годом. Проведение сделок онлайн, составление договоров и отправка отчетов – все это требует подтверждения достоверности и распознания владельца.

Именно для этого была разработана электронная подпись, содержащая уникальный и неповторимый код, принадлежащий владельцу.

Для того чтобы подпись имела юридическую силу и выступала гарантом сделки, требуется наличие на нее сертификата, который может быть выдан в специальном удостоверяющем центре и служит подтверждением принадлежности ЭЦП владельцу.

Для предотвращения подделки или несанкционированного использования электронной подписи используют особый код (ключ электронной подписи). Различают закрытый и открытый ключи ЭЦП.

Открытый ключ доступен всем участникам сделки и документооборота и позволяет определить его владельца.

Закрытый ключ невозможно определить при помощи открытого, он должен быть известен только владельцу подписи.

В случае сохранности и конфиденциальности закрытого ключа электронная подпись может считаться действительной и иметь юридическую силу. При совершении сделок, заключении договоров или осуществлении обмена документами между сторонами необходим гарант, имеющий доверие сторон и подтверждающий личность участников сделки.

Таким гарантом выступает удостоверяющий центр, уполномоченный на выдачу сертификатов открытого ключа ЭЦП. Удостоверяющим центром может быть юридическое лицо, то есть организация, соответствующая требованиям законодательства о выдаче сертификата ЭЦП.

Сертификат открытого ключа ЭЦП позволяет подтвердить принадлежность подписи ее владельцу.

Например, при оформлении сделки, осуществлении или других финансовых операций необходимо заключение договора и соглашения между сторонами.

Однако аутентификация сторон может быть затруднена, ввиду уязвимости электронной информации и, в частности, электронной цифровой подписи. Именно по этой причине возникает необходимость подтверждения правомерности сделки третьей стороной.

Роль третьей стороны в данном случае принадлежит Удостоверяющему центру, который создает сертификат ЭЦП.

Создание

Рассматривая более подробно процедуру а на электронную подпись, стоит выделить следующие моменты:

• кто может выступать в качестве владельца сертификата;
• что такое аккредитованный удостоверяющий центр;
• требования к сертификату;
• где и как можно получить сертификат электронной подписи.

В соответствии с Федеральным законом Российской Федерации, выдача сертификата ключа проверки электронной подписи может производиться как для физических, так и для юридических лиц.

Основанием для получения сертификата является соглашение между заявителем и удостоверяющим центром.

Для получения сертификата юридическим лицом необходимо наличие доверенности, оформленной на представителя, действующего от имени организации или предприятия.

В некоторых случаях юридическое лицо для оказания государственных и муниципальных услуг может назначить ответственного исполнителя, осуществляющего проверку создания ЭЦП. Сертификат в данном случае будет оформлен непосредственно на юридическое лицо.

Аккредитованный удостоверяющий центр

Удостоверяющим центром является организация, соответствующая требованиям законодательства и аккредитованная федеральным органом на основании специального заявления. Федеральный закон об аккредитации удостоверяющих центров от 2 июля 2013 года № 185-ФЗ предусматривает правила и порядок создания сертификатов электронной подписи.

Аккредитованный удостоверяющий центр осуществляет выдачу только квалифицированных сертификатов ЭЦП. То есть получение там сертификата гарантирует сохранность и достоверность ключа электронной подписи, защищая ее от взлома и подделок.

Данные о владельце и сроке действия сертификата находятся в базе данных центра и являются доступными для любого пользователя сети. Списки действующих и аннулированных сертификатов им должны предоставляться в любое время, обеспечивая таким образом пользователям и сторонам, заключающим соглашения, возможность удостовериться в действительности электронной подписи.

По сути, центр сертификации представляет собой реестр данных о действующих и аннулированных сертификатах. Он обеспечивает сохранность и достоверность этих данных, защищает их от взлома и внесения изменений. Данная структура помогает поддерживать управление открытыми ключами в системе электронного документооборота.

Необходимость создания центров сертификации объясняется растущим количеством обладателей ЭЦП, требующих подтверждения достоверности содержащихся в них данных.

Удостоверяющий центр, согласно законодательству, обеспечивает безопасность информации, защиту персональных данных, предоставляет круглосуточный доступ к сертификатам ключей, проверяет законность аннулирования сертификата, сохраняет сертификаты на протяжении действующего срока.

Получение сертификат электронно-цифровой подписи

Заявку можно подать, используя сеть Интернет или обращаясь непосредственно в соответствующий удостоверяющий центр.

Для получения сертификата необходимо представить в центр ряд документов. Но некоторые компании заключают договор без необходимости личного присутствия.

Однако для получения сертификата необходимо представить копии и оригиналы документов и заключить договор, а для получения неквалифицированного сертификата можно заключить договор в онлайн режиме.

В последнем случае копии документов отправляются в центр по каналу телекоммуникационной связи вместе с заявлением на получение сертификата и квитанцией оплаченных услуг. После проверки данных формируются ключи ЭЦП, создается сертификат, а его данные вносятся в реестр учета.

Реквизиты договора и сертификат могут быть отправлены с помощью сети Интернет, после чего происходит самостоятельная установка сертификата ключа ЭЦП.

Квалифицированного сертификата в основном необходимо для государственных учреждений или юридических лиц, поэтому заключение такого договора требует более тщательной подготовки и присутствие в Удостоверяющем центре.

Требования

Поскольку сертификат ключа электронной подписи является ЭЦП, которая в свою очередь обладает юридической силой, он должен быть составлен в строгом соответствии с требованиями и порядком, предусмотренным Федеральным законом.

Сертификат должен содержать в себе полную информацию о владельце. К этим сведениям относятся: фамилия, имя и отчество – для физических лиц или наименование учреждения и номер государственной регистрации – для юридических. Сертификату присваивается уникальный номер, а также устанавливается срок его действия.

Продолжительность может быть различной, в основном она составляет годичный срок. Необходимость обновления сертификата связана в первую очередь с уязвимостью электронных документов, необходимостью внесения изменений в данные или утерей цифрового ключа. Сертификат ключа ЭЦП может быть выдан как на электронном носителе, так и в бумажной форме.

В том случае, когда возникает необходимость аннулировать сертификат или когда закончился срок его действия, необходимо обратиться в удостоверяющий центр.

Сертифицированные средства криптографической защиты, полученные в удостоверяющем центре, предоставляют не только гарантию безопасности данных, но и служат залогом действительности ЭЦП.

Использование программ и электронной цифровой подписи без сертификации не может должным образом обеспечить безопасность информации.

1С:Подпись – обеспечивает заполнение заявки на регистрацию квалифицированного сертификата ключа проверки электронной подписи в Удостоверяющем центре "1С", получение и установку сертификата на компьютере пользователя.

Сертификат ключа проверки электронной подписи (СКП) – электронный документ подтверждающий соответствие между открытым ключом и информацией, идентифицирующей владельца ключа. Содержит информацию о владельце ключа, сведения об открытом ключе, его назначении и области применения

Заявка – электронный документ, формируемый пользователем в ПП 1С, включающий набор реквизитов, необходимых для формирования квалифицированного сертификата ключа проверки электронной подписи. К заявке обязательно прикрепляется (автоматически средствами мастера подготовки заявки) запрос на сертификат в формате PKCS#10, который формируется в процессе подготовки заявки и ключа электронной подписи.

Заявление – бумажный документ, подписываемый законным представителем организации, включающий реквизиты, подлежащие указанию в СКП и в реестре изданных сертификатов (в соответствии с требованиями законодательства РФ), соглашение о присоединении к Регламенту Удостоверяющего центра.

Мастер подготовки заявки – компонента программного продукта 1С:Подпись, предназначенная для подготовки заявки в пошаговом режиме.

Криптопровайдер – программа, осуществляющая реализацию криптографических алгоритмов для выполнения электронной подписи.

Настройка криптопровайдера

Для поддержки работы с квалифицированными сертификатами в среде MS Windows необходимо получить и установить на ПК актуальную версию сертифицированного криптопровайдера. В настоящее время поддерживается работа со следующими программами:

Установка и настройка криптопровайдеров осуществляется в соответствии с технической документацией на эти продукты.

В настройках информационной базы необходимо указать установленный криптопровайдер, для этого перейдите в Настройки электронной подписи и шифрования

на вкладку «Программы» и нажмите кнопку «Добавить».

Выберите из списка криптопровайдер, установленный в Вашей системе и нажмите кнопку «Записать и закрыть».

Запуск Мастера

Для запуска мастера подготовки заявки на СКП необходимо перейти на вкладку «Сертификаты», нажать кнопку «Добавить» и выбрать пункт «Заявление на выпуск сертификата».

Подготовка заявления на выпуск нового квалифицированного сертификата

Соглашение о присоединении к Регламенту Удостоверяющего центра

На первом шаге Мастера подготовки заявки необходимо принять Соглашение о присоединении к Регламенту Удостоверяющего центра. При необходимости его можно распечатать.

Переход к следующему шагу тут и на последующих шагах осуществляется нажатием кнопки «Далее».

Заполнение реквизитов организации

Заполните реквизиты организации, для которой заказывается квалифицированный сертификат. Данные можно заполнить вручную или выбрать из справочника организаций.

При переходе на следующий шаг выполняется проверка реквизитов на наличие ошибок. В случае их обнаружения будет выдано соответствующее предупреждение.

Указание данных представителя организации

Квалифицированный сертификат ключа проверки электронной подписи организации оформляется на уполномоченное должностное лицо. Необходимо указать его данные, которые будут внесены в СКП и реестр квалифицированных сертификатов Удостоверяющего центра.

Создание ключа электронной подписи

После перехода на этот шаг внимательно проверьте указанные сведения и выберите криптопровайдер, настроенный в разделе 2 данного Руководства.

После нажатия кнопки «Далее» будет запущен механизм создания контейнера с ключом электронной подписи средствами криптопровайдера. Для хранеия ключа электронной подписи рекомендуется использовать защищенный ключевой носитель (информационный выпуск № 24982 от 21.09.2018 Расширение ассортимента защищенных носителей "Рутокен" для ключей электронной подписи от российского разработчика Компании "Актив"). При необходимости, обращайтесь к технической документации на используемое вами средство электронной подписи.

После завершения этой процедуры состояние заявления изменится на «Подготовлено».

Подготовка комплекта заявительных документов и отправка заявки в 1С:Подпись

Для печати заявления укажите данные должностного лица, которое будет его подписывать. Передайте подготовленный комплект документов уполномоченному представителю Вашей обслуживающей организации.

Для автоматического прикрепления Вашей заявки к Личному кабинету обслуживающей организации укажите ее ИНН/КПП или выберите организацию из справочника контрагентов. Это позволит сократить срок рассмотрения Вашей заявки.

• Заявка оформляется зарегистрированным пользователем ПП 1С. При необходимости на моменте отправки будет предложено подключить программный продукт к Интернет поддержке пользователей, для чего необходимо ввести логин и пароль, который Вы используете на сайте users.v8.1c.ru .
• На момент отправки заявки в обработку должен быть заключен договор ИТС с обслуживающей Вас организацией или подключен один из пакетов сервисов (СтартЭДО или 1С:Подпись). Если это условие не выполняется, то такая заявка автоматически отклоняется и информация об этом отображается при очередном обновлении статуса. Для решения этого вопроса рекомендуем обратиться в обслуживающую Вас организацию.

При соблюдении этих условий Вы получите сообщение «Заявление принято для обработки» и состояние заявления изменится на «Отправлено».

Проверка состояния заявления и установка сертификата в контейнер

Для проверки текущего статуса отправленной заявки выберите ее на вкладке «Сертификаты» в Настройках электронной подписи и шифрования и нажмите «Изменить» (F2) в контекстном меню. Нажатием кнопки «Обновить состояние» можно актуализировать ее статус.

По окончании обработки заявки сертификат будет получен и для его установки в контейнер нажмите кнопку «Установить сертификат». В результате статус заявки изменится на «Исполнено».

В наши дни очень часто для повышения безопасности сетевых соединений или просто для аутентификации используются ssl сертификаты. Одна из самых популярных свободных программ для создания сертификатов - это OpenSSL. Это утилита командной строки, которая позволяет создавать различные виды сертификатов, например, PKI или HTTPS.

В этой статье мы рассмотрим что такое сертификаты, какими они бывают, разберем подробно создание сертификата OpenSSL. Причем рассмотрим каждый этап, чтобы вам было легче понять что и как происходит.

Думаю нужно начать с самого начала. Сертификаты в первую очередь позволяют идентифицировать человека, подтвердить что вы тот, за кого себя выдаете. А работает это так - есть два ключа - закрытый и открытый. Зашифровать сообщение можно с помощью открытого ключа, но чтобы его расшифровать нужен только закрытый ключ. Если у вас нет закрытого ключа, то вы попросту не сможете расшифровать зашифрованное сообщение. Фактически зашифровать сообщение может каждый, но расшифровать его способен только владелец закрытого (секретного ключа).

Если вы смогли расшифровать отправленное сообщение, зашифрованное с помощью вашего открытого ключа, то значит - это вы. Ключи работают только в паре, и вы не сможете расшифровать ничего другим ключом. Но еще остался один момент. Как определить что этот открытый ключ именно ваш, например, принадлежит вашему домену? Все просто, достаточно, чтобы кто-то из авторитетных источников, например, Comodo или LetsEncrypt подписал ваш ключ. Это так называемые центры сертификации.

В этой инструкции мы будем иметь дело с такими видами ключей:

• .pem, .crt, .cer - готовый, подписанный центром сертификации сертификат, расширения разные, но означают одно и то же. Если совсем просто, то сертификат, это подписанный открытый ключ, плюс немного информации о вашей компании;
• .key - закрытый или открытый ключ;
• .csr - запрос на подпись сертификата, в этом файле хранится ваш открытый ключ плюс информация, о компании и домене, которую вы указали.

А теперь рассмотрим как создать сертификат openssl, как его подписать и что для этого нужно сделать. Генерация ключей openssl - это довольно простая задача, если во всем разобраться.

Создание закрытого ключа и запроса на подпись

Вам необязательно подписывать сертификаты в центре сертификации CA, вы можете подписать их сами, но об этом потом. Весь процесс вам так и так придется пройти. Сначала рассмотрим как создать закрытый ключ с нуля, и указать необходимую информацию. Это CN, где должно быть указанно ваше доменное имя, для которого вы собираетесь использовать сертификат, также можно указать дополнительную информацию о вашей компании, адресе и организации, но это уже необязательно.

Чтобы создать закрытый ключ и запрос на подпись открытого ключа выполните такую команду:

openssl req -newkey rsa:2048 -nodes -keyout domain.key -out domain.csr

Опция -newkey указывает, что нужно создать новую пару ключей, а в параметрах мы сообщаем тип rsa и сложность 2048 байт. Опция -nodes указывает, что шифровать ключ не нужно, опция -new указывает что нужно создать запрос csr. Если у вас уже есть закрытый ключ, то вы можете создать для него csr запрос такой командой:

openssl req -key domain.key -new -out domain.csr

Во время создания вам нужно будет указать всю необходимую информацию для csr, это в первую очередь домен и организация. Можно создавать закрытый ключ отдельно:

openssl genrsa -des3 -out domain.key 2048

Кроме того, можно создать csr запрос из уже существующего сертификата и закрытого ключа, тогда вам не придется вводить информацию, она будет получена из сертификата:

openssl x509 -in domain.crt -signkey domain.key -x509toreq -out domain.csr

Параметр -x509toreq указывает, что нужно использовать сертификат для X509 для получения CSR. X509, это сертификаты, подписанные сами собой. Обычно сертификат подписывается другим сертификатом, а этот был подписан сам собой. Если вы получили сертификат от CA, то этот параметр не нужен.

Подпись сертификатов OpenSSL

Допустим, у вас есть приватный ключ и запрос на подпись, фактически, открытый ключ. Теперь вам нужно его подписать чтобы получить сертификат, который можно использовать. Тут есть несколько вариантов. Можно отправить csr файл на подпись какому-либо центру сертификации, например, LetsEncrypt. Можно подписать сертификат тем же ключом, с помощью которого он был создан, и третий вариант - создать свой центр сертификации.

Первый способ я рассматривать не буду. Здесь все просто. Либо используете утилиту сервиса, либо заполняете веб форму и получаете готовый сертификат. Второй вариант гораздо интереснее. Мы подпишем наш сертификат сами, ключом, на основе которого он был создан:

openssl x509 -signkey domain.key -in domain.csr -req -days 365 -out domain.crt

С помощью параметра -days мы указываем что сертификат будет действительным в течение 365 дней, то есть в течение года. Вы можете объединить все в одну команду и сразу создать закрытый ключ, csr и подписанный сертификат:

openssl req -newkey rsa:2048 -nodes -keyout domain.key
-x509 -days 365 -out domain.crt

Или создаем самоподписанный сертификат openssl из существующего закрытого ключа без csr:

openssl req -key domain.key -new -x509 -days 365 -out domain.crt

Опция -new говорит, что нужно запросить информацию о csr у пользователя. Чтобы браузер доверял ключу нужно этот же сертификат импортировать в список доверенных. А теперь рассмотрим третий способ выполнить создание сертификата OpenSSL - подписать его с помощью собственного CA, центра сертификации.

Вот вы сейчас думаете что это что-то такое сложное, да? А нет, это обычная папка, в которой лежит защищенный паролем закрытый ключ, с помощью которого мы будем подписывать все другие ключи. А открытая пара этого ключа должна быть добавлена во все браузеры, которые будут ему доверять.

Вообще, центр сертификации в крупных корпорациях находится на отдельных компьютерах, которые даже к сети не подключены. Но для примера мы разместим папку в нашей файловой системе /etc/:

openssl req -newkey rsa:4096 -x509 -extensions x509_ca -keyout /etc/ca/certs/ca.key -out /etc/ca/certs/ca.crt -days 3654

Параметр -extensions загружает необходимые расширения для создания сертификата центра сертификации. Мы устанавливаем долгий строк действия - десять лет. Осталось подписать наш сертификат, созданный ранее:

openssl ca -extensions x509_client -in ~/domain.csr -out ~/domain.crt

Готово, теперь наш сертификат подписан. Но теперь, чтобы браузеры ему доверяли нужно добавить сертификат CA в список доверенных браузера.

Просмотр сертификатов

Сертификаты сохраняются в формате pem, а это значит, что вы не сможете их открыть как текстовый файл и нужно использовать специальные команды для просмотра информации о них. Сначала смотрим содержимое csr:

openssl req -text -noout -verify -in domain.csr

Смотрим содержимое сертификата в режиме обычного текста:

openssl x509 -text -noout -in domain.crt

Проверяем действительно ли сертификат подписан нужным CA:

openssl verify -verbose -CAfile ca.crt domain.crt

Просмотр закрытого ключа:

openssl rsa -check -in domain.key

Чтобы проверить связаны ли между собой закрытый ключ, сертификат и открытый ключ можно подсчитать сумы md5 для этих ключей, если значения совпадут, то есть вероятность что это ключи из одной пары:

openssl rsa -noout -modulus -in domain.key | openssl md5
$ openssl x509 -noout -modulus -in domain.crt | openssl md5
$ openssl req -noout -modulus -in domain.csr | openssl md5