使用 openssl 生成證書

阿新 • • 發佈：2017-12-26

安全 ssl 證書

一、openssl 簡介

openssl 是目前最流行的 SSL 密碼庫工具，其提供了一個通用、健壯、功能完備的工具套件，用以支持SSL/TLS 協議的實現。
官網：https://www.openssl.org/source/

構成部分

密碼算法庫
密鑰和證書封裝管理功能
SSL通信API接口

用途

建立 RSA、DH、DSA key 參數
建立 X.509 證書、證書簽名請求(CSR)和CRLs(證書回收列表)
計算消息摘要
使用各種 Cipher加密/解密
SSL/TLS 客戶端以及服務器的測試
處理S/MIME 或者加密郵件

二、RSA密鑰操作

默認情況下，openssl 輸出格式為 PKCS#1-PEM

生成RSA私鑰(無加密)

openssl genrsa -out rsa_private.key 2048

生成RSA公鑰

openssl rsa -in rsa_private.key -pubout -out rsa_public.key

生成RSA私鑰(使用aes256加密)

openssl genrsa -aes256 -passout pass:111111 -out rsa_aes_private.key 2048

其中 passout 代替shell 進行密碼輸入，否則會提示輸入密碼；
生成加密後的內容如：

-----BEGIN RSA PRIVATE KEY-----Proc-Type: 4,ENCRYPTED
DEK-Info: AES-256-CBC,5584D000DDDD53DD5B12AE935F05A007
Base64 Encoded Data-----END RSA PRIVATE KEY-----

此時若生成公鑰，需要提供密碼

openssl rsa -in rsa_aes_private.key -passin pass:111111 -pubout -out rsa_public.key

其中 passout 代替shell 進行密碼輸入，否則會提示輸入密碼；

轉換命令

私鑰轉非加密

openssl rsa -in rsa_aes_private.key -passin pass:111111 -out rsa_private.key

私鑰轉加密

openssl rsa -in rsa_private.key -aes256 -passout pass:111111 -out rsa_aes_private.key

私鑰PEM轉DER

openssl rsa -in rsa_private.key -outform der-out rsa_aes_private.der

-inform和-outform 參數制定輸入輸出格式，由der轉pem格式同理

查看私鑰明細

openssl rsa -in rsa_private.key -noout -text

使用-pubin參數可查看公鑰明細

私鑰PKCS#1轉PKCS#8

openssl pkcs8 -topk8 -in rsa_private.key -passout pass:111111 -out pkcs8_private.key

其中-passout指定了密碼，輸出的pkcs8格式密鑰為加密形式，pkcs8默認采用des3 加密算法，內容如下：

-----BEGIN ENCRYPTED PRIVATE KEY-----Base64 Encoded Data-----END ENCRYPTED PRIVATE KEY-----

使用-nocrypt參數可以輸出無加密的pkcs8密鑰，如下：

-----BEGIN PRIVATE KEY-----Base64 Encoded Data-----END PRIVATE KEY-----

三、生成自簽名證書

生成 RSA 私鑰和自簽名證書

openssl req -newkey rsa:2048 -nodes -keyout rsa_private.key -x509 -days 365 -out cert.crt

req是證書請求的子命令，-newkey rsa:2048 -keyout private_key.pem 表示生成私鑰(PKCS8格式)，-nodes 表示私鑰不加密，若不帶參數將提示輸入密碼；
-x509表示輸出證書，-days365 為有效期，此後根據提示輸入證書擁有者信息；
若執行自動輸入，可使用-subj選項：

openssl req -newkey rsa:2048 -nodes -keyout rsa_private.key -x509 -days 365 -out cert.crt -subj "/C=CN/ST=GD/L=SZ/O=vihoo/OU=dev/CN=vivo.com/[email protected]"

使用已有RSA 私鑰生成自簽名證書

openssl req -new -x509 -days 365 -key rsa_private.key -out cert.crt

-new 指生成證書請求，加上-x509 表示直接輸出證書，-key 指定私鑰文件，其余選項與上述命令相同

四、生成簽名請求及CA 簽名

使用 RSA私鑰生成 CSR 簽名請求

openssl genrsa -aes256 -passout pass:111111 -out server.key 2048openssl req -new -key server.key -out server.csr

此後輸入密碼、server證書信息完成，也可以命令行指定各類參數

openssl req -new -key server.key -passin pass:111111 -out server.csr -subj "/C=CN/ST=GD/L=SZ/O=vihoo/OU=dev/CN=vivo.com/[email protected]"

*** 此時生成的 csr簽名請求文件可提交至 CA進行簽發 ***

查看CSR 的細節

技術分享圖片

cat server.csr-----BEGIN CERTIFICATE REQUEST-----Base64EncodedData-----END CERTIFICATE REQUEST-----openssl req -noout -text -in server.csr

技術分享圖片

使用 CA 證書及CA密鑰對請求簽發證書進行簽發，生成 x509證書

openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey ca.key -passin pass:111111 -CAcreateserial -out server.crt

其中 CAxxx 選項用於指定CA 參數輸入

五、證書查看及轉換

查看證書細節

openssl x509 -in cert.crt -noout -text

轉換證書編碼格式

openssl x509 -in cert.cer -inform DER -outform PEM -out cert.pem

合成 pkcs#12 證書(含私鑰)

** 將 pem 證書和私鑰轉 pkcs#12 證書 **

openssl pkcs12 -export -in server.crt -inkey server.key -passin pass:111111 -password pass:111111 -out server.p12

其中-export指導出pkcs#12 證書，-inkey 指定了私鑰文件，-passin 為私鑰(文件)密碼(nodes為無加密)，-password 指定 p12文件的密碼(導入導出)

** 將 pem 證書和私鑰/CA 證書合成pkcs#12 證書**

openssl pkcs12 -export -in server.crt -inkey server.key -passin pass:111111 \    -chain -CAfile ca.crt -password pass:111111 -out server-all.p12

其中-chain指示同時添加證書鏈，-CAfile 指定了CA證書，導出的p12文件將包含多個證書。(其他選項：-name可用於指定server證書別名；-caname用於指定ca證書別名)

** pcks#12 提取PEM文件(含私鑰) **

openssl pkcs12 -in server.p12 -password pass:111111 -passout pass:111111 -out out/server.pem

其中-password 指定 p12文件的密碼(導入導出)，-passout指輸出私鑰的加密密碼(nodes為無加密)
導出的文件為pem格式，同時包含證書和私鑰(pkcs#8)：

技術分享圖片

Bag Attributes
    localKeyID: 97 DD 46 3D 1E 91 EF 01 3B 2E 4A 75 81 4F 11 A6 E7 1F 79 40 subject=/C=CN/ST=GD/L=SZ/O=vihoo/OU=dev/CN=vihoo.com/[email protected]
issuer=/C=CN/ST=GD/L=SZ/O=viroot/OU=dev/CN=viroot.com/[email protected] CERTIFICATE-----MIIDazCCAlMCCQCIOlA9/dcfEjANBgkqhkiG9w0BAQUFADB5MQswCQYDVQQGEwJD
1LpQCA+2B6dn4scZwaCD-----END CERTIFICATE-----Bag Attributes
    localKeyID: 97 DD 46 3D 1E 91 EF 01 3B 2E 4A 75 81 4F 11 A6 E7 1F 79 40 Key Attributes: <No Attributes>
-----BEGIN ENCRYPTED PRIVATE KEY-----MIIEvAIBADANBgkqhkiG9w0BAQEFAASCBKYwggSiAgEAAoIBAQDC/6rAc1YaPRNf
K9ZLHbyBTKVaxehjxzJHHw==
-----END ENCRYPTED PRIVATE KEY-----

技術分享圖片

僅提取私鑰

 openssl pkcs12 -in server.p12 -password pass:111111 -passout pass:111111 -nocerts -out out/key.pem

僅提取證書(所有證書)

 openssl pkcs12 -in server.p12 -password pass:111111 -nokeys -out out/key.pem

僅提取ca證書

openssl pkcs12 -in server-all.p12 -password pass:111111 -nokeys -cacerts -out out/cacert.pem

僅提取server證書

openssl pkcs12 -in server-all.p12 -password pass:111111 -nokeys -clcerts -out out/cert.pem

六、openssl 命令參考

技術分享圖片 View Code

使用 openssl 生成證書

使用 openssl 生成證書

構成部分

用途

二、RSA密鑰操作

轉換命令

三、生成自簽名證書

四、生成簽名請求及CA 簽名

五、證書查看及轉換

六、openssl 命令參考

openssl 生成證書基本原理

使用 openssl 生成證書

使用OpenSSL生成證書並配置Https

Openssl生成證書流程

【本地服務器】利用openssl生成證書

openssl生成證書 - CSDN部落格

靈活多變的keytool和openssl生成證書，應用tomcat和nginx

如何利用OpenSSL生成證書

使用OpenSSL生成證書

利用工具openSSL生成證書

OpenSSL生成證書

使用openssl生成證書，用wolfssl實現ssl加密傳輸；

利用openssl生成證書

最新Https請求原理、OPenssl生成證書、nginx的https配置

openssl生成證書命令詳解

Linux openssl 生成證書的詳解

使用 openssl 生成證書（含openssl詳解）

證書介紹及openssl生成證書和吊銷列表

openssl生成證書+安裝+使用例項

OpenSSl 生成證書

使用 openssl 生成證書

構成部分

用途

二、RSA密鑰操作

轉換命令

三、生成自簽名證書

四、生成簽名請求及CA 簽名

五、證書查看及轉換

六、openssl 命令參考

相關推薦