CA證書生成筆記

時間 2019-12-25

標籤證書生成筆記简体版

原文原文鏈接

目錄java

一、實例

二、幫助命令

三、經常使用命令

一、實例ide

----------------------------pem格式的證書-------------

一、CA的私鑰，自簽名證書 

    openssl genrsa -out ca-key.pem -aes128 2048

    openssl req -new -x509 -key ca-key.pem -out ca-cert.pem  -days 1000

    牢記下面三個屬性值，生成csr.pem時須要保持一致：

        Country Name,State or Province Name,Organization Name

二、server端的私鑰，證書請求，證書

    openssl genrsa -out server-key.pem -aes128 2048

    openssl req -new -key server-key.pem -out server-csr.pem

    openssl ca -in server-csr.pem -cert ca-cert.pem -keyfile ca-key.pem -out server-cert.pem -days 365

    若是發生如下錯誤：

        "I am unable to access the ../../CA/newcerts directory ../../CA/newcerts: No such file or directory"

    只須要：

        # create directory

            $ mkdir ../../CA

            $ mkdir ../../CA/newcerts

        # create empty file ：

        $ vi ../../CA/index.txt

        # create file and input 01 (the content is 01) ：

        $ vi ../../CA/serial

三、client端的私鑰，證書請求，證書

    openssl genrsa -out client-key.pem -aes128 2048

    openssl req -new -key client-key.pem -out client-csr.pem

    openssl ca -in client-csr.pem -cert ca-cert.pem -keyfile ca-key.pem -out client-cert.pem -days 365

----------------------------p12格式的證書------------- 

openssl pkcs12 -export -in client-cert.pem -inkey client-key.pem -out client-cert.p12

----------------------------jks格式的證書-------------  

keytool -genkeypair -keyalg RSA -alias client -keystore client.jks

# 刪除PrivateKeyEntry

keytool -delete -alias client -keystore client.jks

# check keystore

#keytool -list -v -keystore client.jks  

# covert format，不然不能把private-key導入到jks

openssl pkcs8 -in client-key.pem -inform pem -out client-key.pk8 -outform der -topk8 -nocrypt

# 須要下載pkeytool.jar到當前目錄

# import client-key.pk8,client-cert.pem

java -jar pkeytool.jar -importkey -keyfile client-key.pk8 -certfile client-cert.pem -alias myclient -keystore client.jks

# import ca-cert

keytool -importcert -v -trustcacerts -file ca-cert.pem -alias myCA -keystore client.jks

二、幫助命令____加密

openssl --help

openssl x509 --help

三、經常使用命令code

一、生成普通私鑰：

openssl genrsa -out ca-key.pem 1024

二、生成帶加密口令的密鑰：

openssl genrsa -des3 -out ca-key.pem 1024

三、去除密鑰的口令：

openssl rsa -in ca-key.pem -out ca-key.pem

四、經過生成的私鑰去生成證書：

openssl req -new -x509 -key ca-key.pem -out ca-cert.pem -days 1095     

五、經過私鑰生成公鑰：

openssl rsa -in ca-key.pem -pubout -out pub-key.pem

六、格式轉換：（證書、私鑰、公鑰）（PEM DER）

openssl x509 -in ca-cert.pem -inform PEM -out ca-cert.der -outform DER

openssl rsa -in ca-key.pem -inform PEM -out ca-key.der -outform DER

openssl rsa -pubin -in pub-key.pem -inform PEM -pubout -out pub-key.der -outform DER

七、合併成pfx證書（p12）：

openssl pkcs12 -export -in server-cert.pem -out server.p12 -inkey server-key.pem

八、p12證書文本化：

openssl pkcs12 -in server.p12 -out server.txt

九、屏幕模式顯式：（證書、私鑰、公鑰）

openssl x509 -in ca-cert.pem -noout -text -modulus

openssl rsa -in ca-key.pem -noout -text -modulus

openssl rsa -in pub-key.pem -noout -text -modulus

相關標籤/搜索

每日一句

每一个你不满意的现在，都有一个你没有努力的曾经。