SSL證書指令

轉自：http://blog.csdn.net/madding/article/details/26717963

生成Self Signed證書

＃ 生成一個key，你的私鑰,openssl會提示你輸入一個密碼，能夠輸入，也能夠不輸，

＃ 輸入的話，之後每次使用這個key的時候都要輸入密碼，安全起見，仍是應該有一個密碼保護
> openssl genrsa -des3 -out selfsign.key 4096 # 使用上面生成的key，生成一個certificate signing request (CSR) # 若是你的key有密碼保護，openssl首先會詢問你的密碼，而後詢問你一系列問題， # 其中Common Name(CN)是最重要的，它表明你的證書要表明的目標，若是你爲網站申請的證書，就要添你的域名。 > openssl req -new -key selfsign.key -out selfsign.csr # 生成Self Signed證書 selfsign.crt就是咱們生成的證書了 > openssl x509 -req -days 365 -in selfsign.csr -signkey selfsign.key -out selfsign.crt ＃ 另一個比較簡單的方法就是用下面的命令，一次生成key和證書 > openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout privateKey.key -out certificate.crt

生成本身的CA (Certificate Authority)

＃ 生成CA的key
> openssl genrsa -des3 -out ca.key 4096 # 生成CA的證書 > openssl req -new -x509 -days 365 -key ca.key -out ca.crt # 生成咱們的key和CSR這兩步與上面Self Signed中是同樣的 > openssl genrsa -des3 -out myserver.key 4096 > openssl req -new -key myserver.key -out myserver.csr # 使用ca的證書和key，生成咱們的證書 # 這裏的set_serial指明瞭證書的序號，若是證書過時了(365天后)， # 或者證書key泄漏了，須要從新發證的時候，就要加1 > openssl x509 -req -days 365 -in myserver.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out myserver.crt

查看證書

# 查看KEY信息
> openssl rsa -noout -text -in myserver.key # 查看CSR信息 > openssl req -noout -text -in myserver.csr # 查看證書信息 > openssl x509 -noout -text -in ca.crt # 驗證證書 # 會提示self signed > openssl verify selfsign.crt # 由於myserver.crt 是幅ca.crt發佈的，因此會驗證成功 > openssl verify -CAfile ca.crt myserver.crt

去掉key的密碼保護

有時候每次都要輸入密碼太繁瑣了,能夠把Key的保護密碼去掉

> openssl rsa -in myserver.key -out server.key.insecure

不一樣格式證書的轉換

# PKCS轉換爲PEM
> openssl pkcs12 -in myserver.pfx -out myserver.pem -nodes

# PEM轉換爲DER
> openssl x509 -outform der -in myserver.pem -out myserver.[der|crt]

# PEM提取KEY

> openssl RSA -in myserver.pem -out myserver.key

# DER轉換爲PEM
> openssl x509 -inform der -in myserver.[cer|crt] -out myserver.pem # PEM轉換爲PKCS > openssl pkcs12 -export -out myserver.pfx -inkey myserver.key -in myserver.pem -certfile ca.crt 

測試證書

Openssl提供了簡單的client和server工具，能夠用來模擬SSL鏈接，作測試使用。

# 鏈接到遠程服務器
> openssl s_client -connect www.google.com.hk:443 # 模擬的HTTPS服務，能夠返回Openssl相關信息 # -accept 用來指定監聽的端口號 # -cert -key 用來指定提供服務的key和證書 > openssl s_server -accept 443 -cert myserver.crt -key myserver.key -www # 能夠將key和證書寫到同一個文件中 > cat myserver.crt myserver.key > myserver.pem # 使用的時候只提供一個參數就能夠了 > openssl s_server -accept 443 -cert myserver.pem -www # 能夠將服務器的證書保存下來 > openssl s_client -connect www.google.com.hk:443 </dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > remoteserver.pem # 轉換成DER文件，就能夠在Windows下直接查看了 > openssl x509 -outform der -in remoteserver.pem -out remoteserver.cer

計算MD5和SHA1

# MD5 digest
> openssl dgst -md5 filename # SHA1 digest > openssl dgst -sha1 filenam