openssl 證書操做命令

1、簡介

openssl命令集充分體現了unix編程的KISS精神——每一個命令的功能都簡單並且獨立，經過腳本語言將其組合在一塊兒就能實現強大的功能。

這裏只簡單介紹一些咱們經常使用的命令，各個命令的詳細幫助能夠查閱對應的manpages，

 

2、經常使用功能

1）生成CA和證書

# to create RSA Certificate
openssl genrsa -des -passout pass:"123456" -out rsa_ca_prikey.key 1024 
openssl req -config caOpenssl.cnf -key rsa_ca_prikey.key -passin pass:"123456" -new -out rsa_ca_cert.req 
openssl x509 -req -in rsa_ca_cert.req -signkey rsa_ca_prikey.key -passin pass:"123456" -out rsa_ca_cert.pem 

openssl genrsa -des -passout pass:"123456" -out rsa_site_prikey.key 1024 
openssl req -config siteOpenssl.cnf -key rsa_site_prikey.key -passin pass:"123456" -new -out rsa_site_cert.req 
openssl x509 -req -in rsa_site_cert.req -CA rsa_ca_cert.pem -CAkey rsa_ca_prikey.key -passin pass:"123456" -out rsa_site_cert.pem -CAcreateserial 


# to create ECC Certificate 
openssl ecparam -genkey -name prime256v1 -out ecc_ca_prikey.key  
openssl req -config caOpenssl.cnf -key ecc_ca_prikey.key -new -out ecc_ca_cert.req 
openssl x509 -req -in ecc_ca_cert.req -signkey ecc_ca_prikey.key -out ecc_ca_cert.pem 

openssl ecparam -genkey -name prime256v1 -out ecc_site_prikey.key  
openssl req -config siteOpenssl.cnf -key ecc_site_prikey.key -new -out ecc_site_cert.req 
openssl x509 -req -in ecc_site_cert.req -CA ecc_ca_cert.pem -CAkey ecc_ca_prikey.key -out ecc_site_cert.pem -CAcreateserial 


# to create DSA Certificate 
openssl dsaparam -genkey 512 -out dsa_ca_prikey.key 
openssl req -config caOpenssl.cnf -key dsa_ca_prikey.key -new -out dsa_ca_cert.req 
openssl x509 -req -in dsa_ca_cert.req -signkey dsa_ca_prikey.key -out dsa_ca_cert.pem 

openssl dsaparam -genkey 512 -out dsa_site_prikey.key 
openssl req -config siteOpenssl.cnf -key dsa_site_prikey.key -new -out dsa_site_cert.req 
openssl x509 -req -in dsa_site_cert.req -CA dsa_ca_cert.pem -CAkey dsa_ca_prikey.key -out dsa_site_cert.pem -CAcreateserial

2）查看證書

# 查看KEY信息
$ openssl rsa -noout -text -in myserver.key

# 查看CSR信息
$ openssl req -noout -text -in myserver.csr

# 查看證書信息
$ openssl x509 -noout -text -in ca.pem

# 查看證書公鑰對應的RSA模
$ openssl x509 -in mysite.pem -noout -modulus

# 查看證書subject項

$ openssl x509 -in mysite.pem -noout -subject -nameopt multiline

# 查看證書issuer項

$ openssl x509 -in mysite.pem -noout -issuer -nameopt multiline

# 檢查證書用途
$ openssl x509 -purpose -noout -in 192.168.200.7.cer

3）驗證證書

# 會提示self signed
$ openssl verify ca_cert.pem

# 由於myserver.crt 是幅ca.crt發佈的，因此會驗證成功
$ openssl verify -CAfile ca_cert.pem site_cert.pem

4）格式轉換

 
 
 
 

  
  
  
  
# PKCS轉換爲PEM
> openssl pkcs12 -in myserver.pfx -out myserver.pem -nodes

# PEM轉換爲DER
> openssl x509 -outform der -in myserver.pem -out myserver.[der|crt]

# PEM提取KEY
> openssl RSA -in myserver.pem -out myserver.key

# DER轉換爲PEM
> openssl x509 -inform der -in myserver.[cer|crt] -out myserver.pem

# PEM轉換爲PKCS
> openssl pkcs12 -export -inkey myserver.key -in myserver.pem  -out myserver.pfx -certfile ca.crt
  
  
  
  
> openssl pkcs12 -export -inkey www.mysite.com.key -in www.mysite.com.pem -passin pass:123456 -passout pass:123456 -out www.mysite.com.p12
 
 
 
 

 

5）去掉key的密碼保護

 

七、測試證書

Openssl提供了簡單的client和server工具，能夠用來模擬SSL鏈接，作測試使用。

# 鏈接到遠程服務器
> openssl s_client -connect www.google.com.hk:443

# 模擬的HTTPS服務，能夠返回Openssl相關信息 
# -accept 用來指定監聽的端口號 
# -cert -key 用來指定提供服務的key和證書
> openssl s_server -accept 443 -cert myserver.crt -key myserver.key -www

# 能夠將key和證書寫到同一個文件中
> cat myserver.crt myserver.key > myserver.pem
# 使用的時候只提供一個參數就能夠了
> openssl s_server -accept 443 -cert myserver.pem -www

# 能夠將服務器的證書保存下來
> openssl s_client -connect www.google.com.hk:443 </dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > remoteserver.pem
# 轉換成DER文件，就能夠在Windows下直接查看了
> openssl x509 -outform der -in remoteserver.pem -out remoteserver.cer

 

八、計算MD5和SHA1

# MD5 digest
> openssl dgst -md5 filename

# SHA1 digest
> openssl dgst -sha1 filename