Сделать csr по существующему сертификату

 

openssl x509 -x509toreq  -copy_extensions copyall -in $SITENAME.crt -signkey $SITENAME.key -out $SITENAME-new.csr 

Для старых версий

openssl x509 -x509toreq -in $SITENAME.crt -signkey $SITENAME.key -out $SITENAME-new.csr 




https://security.stackexchange.com/questions/104139/generate-csr-from-existing-certificate

Проверка и чистка сертификатов

Ручной контроль
openssl s_client -connect addr:443 -ssl3

openssl s_client -connect addr:443 -tls1

Хорошая проверялка на проблемы и уязвимости

https://www.ssllabs.com/ssltest/analyze.html?d=site

проверялка от Thawte

https://cryptoreport.thawte.com/checker/views/certCheck.jsp

Чистилка от лишних сертификатов в цепочке (Symantec, Thawte, GeoTrust or RapidSSL certificate):
https://cryptoreport.thawte.com/checker/views/CrossCertRemove.jsp

(что плохого в SHA-1):

https://community.qualys.com/blogs/securitylabs/2014/09/09/sha1-deprecation-what-you-need-to-know

Ставим OpenSSL 0.9.8 на debian wheezy

Некоторые приложения хотят устаревшую ветку openssl - 0.9.8, например
 libcouchbase2-core : Depends: libssl0.9.8 (>= 0.9.8k-1) but it is not installable

Фикс: ставим бэкпорт под squeeze:

https://support.rstudio.com/hc/en-us/articles/202094776-Installing-OpenSSL-0-9-8-on-Debian-7-Wheezy

Под 64 бита

$ wget http://ftp.us.debian.org/debian/pool/main/o/openssl/libssl0.9.8_0.9.8o-4squeeze14_amd64.deb

$ sudo dpkg -i libssl0.9.8_0.9.8o-4squeeze14_amd64.deb

OpenSSL

Основы работы с OpenSSL
Хороший FAQ