openssl生成SSL證書
x509證書通常會用到三類文件,key,csr,crt:html
- Key是私用密鑰,openssl格式,一般是rsa算法。
- csr是證書請求文件,用於申請證書。在製做csr文件的時候,必須使用本身的私鑰來簽署申請,還能夠設定一個密鑰。
- crt是CA認證後的證書文件(windows下面的csr,實際上是crt),簽署人用本身的key給你簽署的憑證。
openssl中有以下後綴名的文件
.key格式:私有的密鑰算法
.csr格式:證書籤名請求(證書請求文件),含有公鑰信息,certificate signing request的縮寫windows
.crt格式:證書文件,certificate的縮寫服務器
.crl格式:證書吊銷列表,Certificate Revocation List的縮寫app
.pem格式:用於導出,導入證書時候的證書的格式,有證書開頭,結尾的格式工具
CA根證書的生成步驟
生成CA私鑰(.key)-->生成CA證書請求(.csr)-->自簽名獲得根證書(.crt)(CA給自已頒發的證書)。編碼
# Generate CA private key openssl genrsa -out ca.key 2048 # Generate CSR openssl req -new -key ca.key -out ca.csr # Generate Self Signed certificate(CA 根證書) openssl x509 -req -days 365 -in ca.csr -signkey ca.key -out ca.crt
用戶證書的生成步驟
生成私鑰(.key)-->生成證書請求(.csr)-->用CA根證書籤名獲得證書(.crt)加密
服務器端用戶證書:spa
-
# private key.net -
$openssl genrsa -des3 -out server.key 1024 -
# generate csr -
$openssl req -new -key server.key -out server.csr -
# generate certificate -
$openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key
生成pem格式證書
有時須要用到pem格式的證書,能夠用如下方式合併證書文件(crt)和私鑰文件(key)來生成
$cat client.crt client.key> client.pem
$cat server.crt server.key > server.pem
結果:
服務端證書:ca.crt, server.key, server.crt, server.pem
客戶端證書:ca.crt, client.key, client.crt, client.pem
這種狀況可能在設置私鑰key時須要將密碼設置寫入了key文件,致使Nginx/Apache等系列服務器在啓動時要求Enter PEM pass phrase。咱們須要作的是剝離這個密碼,利用以下OpenSSL命令生成server.key.unsecure文件:
1 |
openssl rsa -in server.key -out server.key.unsecure |
OpenSSL命令參考:
1. openssl list-standard-commands(標準命令)
1) asn1parse: asn1parse用於解釋用ANS.1語法書寫的語句(ASN通常用於定義語法的構成)
2) ca: ca用於CA的管理
openssl ca [options]:
2.1) -selfsign
使用對證書請求進行簽名的密鑰對來簽發證書。即"自簽名",這種狀況發生在生成證書的客戶端、簽發證書的CA都是同一臺機器(也是咱們大多數實驗中的狀況),咱們可使用同一個
密鑰對來進行"自簽名"
2.2) -in file
須要進行處理的PEM格式的證書
2.3) -out file
處理結束後輸出的證書文件
2.4) -cert file
用於簽發的根CA證書
2.5) -days arg
指定簽發的證書的有效時間
2.6) -keyfile arg
CA的私鑰證書文件
2.7) -keyform arg
CA的根私鑰證書文件格式:
2.7.1) PEM
2.7.2) ENGINE
2.8) -key arg
CA的根私鑰證書文件的解密密碼(若是加密了的話)
2.9) -config file
配置文件
example1: 利用CA證書籤署請求證書
openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key
3) req: X.509證書籤發請求(CSR)管理
openssl req [options] <infile >outfile
3.1) -inform arg
輸入文件格式
3.1.1) DER
3.1.2) PEM
3.2) -outform arg
輸出文件格式
3.2.1) DER
3.2.2) PEM
3.3) -in arg
待處理文件
3.4) -out arg
待輸出文件
3.5) -passin
用於簽名待生成的請求證書的私鑰文件的解密密碼
3.6) -key file
用於簽名待生成的請求證書的私鑰文件
3.7) -keyform arg
3.7.1) DER
3.7.2) NET
3.7.3) PEM
3.8) -new
新的請求
3.9) -x509
輸出一個X509格式的證書
3.10) -days
X509證書的有效時間
3.11) -newkey rsa:bits
生成一個bits長度的RSA私鑰文件,用於簽發
3.12) -[digest]
HASH算法
3.12.1) md5
3.12.2) sha1
3.12.3) md2
3.12.4) mdc2
3.12.5) md4
3.13) -config file
指定openssl配置文件
3.14) -text: text顯示格式
example1: 利用CA的RSA密鑰建立一個自簽署的CA證書(X.509結構)
openssl req -new -x509 -days 3650 -key server.key -out ca.crt
example2: 用server.key生成證書籤署請求CSR(這個CSR用於以外發送待CA中心等待簽發)
openssl req -new -key server.key -out server.csr
example3: 查看CSR的細節
openssl req -noout -text -in server.csr
4) genrsa: 生成RSA參數
openssl genrsa [args] [numbits]
[args]
4.1) 對生成的私鑰文件是否要使用加密算法進行對稱加密:
4.1.1) -des: CBC模式的DES加密
4.1.2) -des3: CBC模式的DES加密
4.1.3) -aes128: CBC模式的AES128加密
4.1.4) -aes192: CBC模式的AES192加密
4.1.5) -aes256: CBC模式的AES256加密
4.2) -passout arg: arg爲對稱加密(des、des、aes)的密碼(使用這個參數就省去了console交互提示輸入密碼的環節)
4.3) -out file: 輸出證書私鑰文件
[numbits]: 密鑰長度
example: 生成一個1024位的RSA私鑰,並用DES加密(密碼爲1111),保存爲server.key文件
openssl genrsa -out server.key -passout pass:1111 -des3 1024
5) rsa: RSA數據管理
openssl rsa [options] <infile >outfile
5.1) -inform arg
輸入密鑰文件格式:
5.1.1) DER(ASN1)
5.1.2) NET
5.1.3) PEM(base64編碼格式)
5.2) -outform arg
輸出密鑰文件格式
5.2.1) DER
5.2.2) NET
5.2.3) PEM
5.3) -in arg
待處理密鑰文件
5.4) -passin arg
輸入這個加密密鑰文件的解密密鑰(若是在生成這個密鑰文件的時候,選擇了加密算法了的話)
5.5) -out arg
待輸出密鑰文件
5.6) -passout arg
若是但願輸出的密鑰文件繼續使用加密算法的話則指定密碼
5.7) -des: CBC模式的DES加密
5.8) -des3: CBC模式的DES加密
5.9) -aes128: CBC模式的AES128加密
5.10) -aes192: CBC模式的AES192加密
5.11) -aes256: CBC模式的AES256加密
5.12) -text: 以text形式打印密鑰key數據
5.13) -noout: 不打印密鑰key數據
5.14) -pubin: 檢查待處理文件是否爲公鑰文件
5.15) -pubout: 輸出公鑰文件
example1: 對私鑰文件進行解密
openssl rsa -in server.key -passin pass:111 -out server_nopass.key
example:2: 利用私鑰文件生成對應的公鑰文件
openssl rsa -in server.key -passin pass:111 -pubout -out server_public.key
6) x509:
本指令是一個功能很豐富的證書處理工具。能夠用來顯示證書的內容,轉換其格式,給CSR簽名等X.509證書的管理工做
openssl x509 [args]
6.1) -inform arg
待處理X509證書文件格式
6.1.1) DER
6.1.2) NET
6.1.3) PEM
6.2) -outform arg
待輸出X509證書文件格式
6.2.1) DER
6.2.2) NET
6.2.3) PEM
6.3) -in arg
待處理X509證書文件
6.4) -out arg
待輸出X509證書文件
6.5) -req
代表輸入文件是一個"請求籤發證書文件(CSR)",等待進行簽發
6.6) -days arg
代表將要簽發的證書的有效時間
6.7) -CA arg
指定用於簽發請求證書的根CA證書
6.8) -CAform arg
根CA證書格式(默認是PEM)
6.9) -CAkey arg
指定用於簽發請求證書的CA私鑰證書文件,若是這個option沒有參數輸入,那麼缺省認爲私有密鑰在CA證書文件裏有
6.10) -CAkeyform arg
指定根CA私鑰證書文件格式(默認爲PEM格式)
6.11) -CAserial arg
指定序列號文件(serial number file)
6.12) -CAcreateserial
若是序列號文件(serial number file)沒有指定,則自動建立它
example1: 轉換DER證書爲PEM格式
openssl x509 -in cert.cer -inform DER -outform PEM -out cert.pem
example2: 使用根CA證書對"請求籤發證書"進行簽發,生成x509格式證書
openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt
example3: 打印出證書的內容
openssl x509 -in server.crt -noout -text
7) crl: crl是用於管理CRL列表
openssl crl [args]
7.1) -inform arg
輸入文件的格式
7.1.1) DER(DER編碼的CRL對象)
7.1.2) PEM(默認的格式)(base64編碼的CRL對象)
7.2) -outform arg
指定文件的輸出格式
7.2.1) DER(DER編碼的CRL對象)
7.2.2) PEM(默認的格式)(base64編碼的CRL對象)
7.3) -text:
以文本格式來打印CRL信息值。
7.4) -in filename
指定的輸入文件名。默認爲標準輸入。
7.5) -out filename
指定的輸出文件名。默認爲標準輸出。
7.6) -hash
輸出頒發者信息值的哈希值。這一項可用於在文件中根據頒發者信息值的哈希值來查詢CRL對象。
7.7) -fingerprint
打印CRL對象的標識。
7.8) -issuer
輸出頒發者的信息值。
7.9) -lastupdate
輸出上一次更新的時間。
7.10) -nextupdate
打印出下一次更新的時間。
7.11) -CAfile file
指定CA文件,用來驗證該CRL對象是否合法。
7.12) -verify
是否驗證證書。
example1: 輸出CRL文件,包括(頒發者信息HASH值、上一次更新的時間、下一次更新的時間)
openssl crl -in crl.crl -text -issuer -hash -lastupdate –nextupdate
example2: 將PEM格式的CRL文件轉換爲DER格式
openssl crl -in crl.pem -outform DER -out crl.der
8) crl2pkcs7: 用於CRL和PKCS#7之間的轉換
openssl crl2pkcs7 [options] <infile >outfile
轉換pem到spc
openssl crl2pkcs7 -nocrl -certfile venus.pem -outform DER -out venus.spc
https://www.openssl.org/docs/apps/crl2pkcs7.html
9) pkcs12: PKCS#12數據的管理
pkcs12文件工具,能生成和分析pkcs12文件。PKCS#12文件能夠被用於多個項目,例如包含Netscape、 MSIE 和 MS Outlook
openssl pkcs12 [options]
http://blog.csdn.net/as3luyuan123/article/details/16105475
https://www.openssl.org/docs/apps/pkcs12.html
10) pkcs7: PCKS#7數據的管理
用於處理DER或者PEM格式的pkcs#7文件
openssl pkcs7 [options] <infile >outfile
http://blog.csdn.net/as3luyuan123/article/details/16105407
https://www.openssl.org/docs/apps/pkcs7.html
2. openssl list-message-digest-commands(消息摘要命令)
1) dgst: dgst用於計算消息摘要
openssl dgst [args]
1.1) -hex
以16進制形式輸出摘要
1.2) -binary
以二進制形式輸出摘要
1.3) -sign file
以私鑰文件對生成的摘要進行簽名
1.4) -verify file
使用公鑰文件對私鑰簽名過的摘要文件進行驗證
1.5) -prverify file
以私鑰文件對公鑰簽名過的摘要文件進行驗證
verify a signature using private key in file
1.6) 加密處理
1.6.1) -md5: MD5
1.6.2) -md4: MD4
1.6.3) -sha1: SHA1
1.6.4) -ripemd160
example1: 用SHA1算法計算文件file.txt的哈西值,輸出到stdout
openssl dgst -sha1 file.txt
example2: 用dss1算法驗證file.txt的數字簽名dsasign.bin,驗證的private key爲DSA算法產生的文件dsakey.pem
openssl dgst -dss1 -prverify dsakey.pem -signature dsasign.bin file.txt
2) sha1: 用於進行RSA處理
openssl sha1 [args]
2.1) -sign file
用於RSA算法的私鑰文件
2.2) -out file
輸出文件愛你
2.3) -hex
以16進制形式輸出
2.4) -binary
以二進制形式輸出
example1: 用SHA1算法計算文件file.txt的HASH值,輸出到文件digest.txt
openssl sha1 -out digest.txt file.txt
example2: 用sha1算法爲文件file.txt簽名,輸出到文件rsasign.bin,簽名的private key爲RSA算法產生的文件rsaprivate.pem
openssl sha1 -sign rsaprivate.pem -out rsasign.bin file.txt
3. openssl list-cipher-commands (Cipher命令的列表)
1) aes-128-cbc
2) aes-128-ecb
3) aes-192-cbc
4) aes-192-ecb
5) aes-256-cbc
6) aes-256-ecb
7) base64
8) bf
9) bf-cbc
10) bf-cfb
11) bf-ecb
12) bf-ofb
13) cast
14) cast-cbc
15) cast5-cbc
16) cast5-cfb
17) cast5-ecb
18) cast5-ofb
19) des
20) des-cbc
21) des-cfb
22) des-ecb
23) des-ede
24) des-ede-cbc
25) des-ede-cfb
26) des-ede-ofb
27) des-ede3
28) des-ede3-cbc
29) des-ede3-cfb
30) des-ede3-ofb
31) des-ofb
32) des3
33) desx
34) rc2
35) rc2-40-cbc
36) rc2-64-cbc
37) rc2-cbc
38) rc2-cfb
39) rc2-ecb
40) rc2-ofb
41) rc4
42) rc4-40
相關文章
- 1. SSL--Windows下生成OpenSSL自簽證書
- 2. openssl 生成ssl證書詳解
- 3. Openssl生成證書
- 4. openssl生成證書
- 5. OpenSSL 生成證書
- 6. SSL證書生成
- 7. 生成SSL證書
- 8. ssl生成證書
- 9. openssl生成證書鏈多級證書
- 10. openssl 生成證書 server.key server.crt
- 更多相關文章...
- • Eclipse 生成jar包 - Eclipse 教程
- • Eclipse 添加書籤 - Eclipse 教程
- • 使用阿里雲OSS+CDN部署前端頁面與加速靜態資源
- • Composer 安裝與使用
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
歡迎關注本站公眾號,獲取更多信息
相關文章
- 1. SSL--Windows下生成OpenSSL自簽證書
- 2. openssl 生成ssl證書詳解
- 3. Openssl生成證書
- 4. openssl生成證書
- 5. OpenSSL 生成證書
- 6. SSL證書生成
- 7. 生成SSL證書
- 8. ssl生成證書
- 9. openssl生成證書鏈多級證書
- 10. openssl 生成證書 server.key server.crt