申請證書

SSL常用於身份驗證、資料加密等應用中，要使用SSL，我們密碼有自己的證書。數字證書一般要向專業的認證公司(如VeriSign)申請，並且都是收費的，某些情況下，我們只是想使用加密的資料通訊，而不在乎認證，這時就可以自己製作一個證書，自己製作一個證書，有兩種方式，一種是Self Signed,另一種是自己製作一個CA，然後由這個CA,來發布我們需要的證書。下面分別介紹這兩個方法。

生成Self Signed證書

＃ 生成一個key，你的私鑰,openssl會提示你輸入一個密碼，可以輸入，也可以不輸，
＃ 輸入的話，以後每次使用這個key的時候都要輸入密碼，安全起見，還是應該有一個密碼保護
> openssl genrsa -des3 -out
 
 selfsign.key 4096

# 使用上面生成的key，生成一個certificate signing request (CSR)
# 如果你的key有密碼保護，openssl首先會詢問你的密碼，然後詢問你一系列問題，
# 其中Common Name(CN)是最重要的，它代表你的證書要代表的目標，如果你為網站申請的證書，就要添你的域名。
> openssl req -new -key selfsign.key -out selfsign.csr

# 生成Self Signed證書 selfsign.crt就是我們生成的證書了
> openssl x509 -req -days 365
 
 -in selfsign.csr -signkey selfsign.key -out selfsign.crt

＃ 另外一個比較簡單的方法就是用下面的命令，一次生成key和證書
> openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout privateKey.key -out certificate.crt

CA是證書的釋出者，CA可以釋出其他人的證書，把CA的證書加入系統信任的根證書後，由CA釋出的證書也被系統所信任，所以，CA的key是必須小心保護的，一般都要加密保護，並且限制為root許可權讀寫。

＃ 生成CA的key
> openssl genrsa -des3 -out
 
 ca.key 4096

# 生成CA的證書
> openssl req -new -x509 -days 365 -key ca.key -out ca.crt

# 生成我們的key和CSR這兩步與上面Self Signed中是一樣的
> openssl genrsa -des3 -out myserver.key 4096
> openssl req -new -key myserver.key -out myserver.csr

# 使用ca的證書和key，生成我們的證書
# 這裡的set_serial指明瞭證書的序號，如果證書過期了(365天后)，
# 或者證書key洩漏了，需要重新發證的時候，就要加1
> openssl x509 -req -days 365 -in myserver.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out myserver.crt

檢視證書

# 檢視KEY資訊
> openssl rsa -noout -text -in myserver.key

# 檢視CSR資訊
> openssl req -noout -text -in myserver.csr

# 檢視證書資訊
> openssl x509 -noout -text -in ca.crt

# 驗證證書
# 會提示self signed
> openssl verify selfsign.crt

# 因為myserver.crt 是幅ca.crt釋出的，所以會驗證成功
> openssl verify -CAfile ca.crt myserver.crt

去掉key的密碼保護

有時候每次都要輸入密碼太繁瑣了,可以把Key的保護密碼去掉

> openssl rsa -in myserver.key -out server.key.insecure

不同格式證書的轉換

一般證書有三種格式：

PEM(.pem) 前面命令生成的都是這種格式，
DER(.cer .der) Windows 上常見
PKCS#12檔案(.pfx .p12) Mac上常見

# PEM轉換為DER
> openssl x509 -outform der -in myserver.crt -out myserver.der

# DER轉換為PEM
> openssl x509 -inform der -in myserver.cer -out myserver.pem

# PEM轉換為PKCS
> openssl pkcs12 -export -out myserver.pfx -inkey myserver.key -in myserver.crt -certfile ca.crt

# PKCS轉換為PEM
> openssl pkcs12 -in myserver.pfx -out myserver2.pem -nodes

測試證書

Openssl提供了簡單的client和server工具，可以用來模擬SSL連線，做測試使用。

# 連線到遠端伺服器
> openssl s_client -connect www.google.com.hk:443

# 模擬的HTTPS服務，可以返回Openssl相關資訊 
# -accept 用來指定監聽的埠號 
# -cert -key 用來指定提供服務的key和證書
> openssl s_server -accept 443 -cert myserver.crt -key myserver.key -www

# 可以將key和證書寫到同一個檔案中
> cat myserver.crt myserver.key > myserver.pem
# 使用的時候只提供一個引數就可以了
> openssl s_server -accept 443 -cert myserver.pem -www

# 可以將伺服器的證書儲存下來
> openssl s_client -connect www.google.com.hk:443 </dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > remoteserver.pem
# 轉換成DER檔案，就可以在Windows下直接查看了
> openssl x509 -outform der -in remoteserver.pem -out remoteserver.cer

計算MD5和SHA1

# MD5 digest
> openssl dgst -md5 filename

# SHA1 digest
> openssl dgst -sha1 filename