2. 程式人生 > >用openssl命令生成證書

用openssl命令生成證書

阿新 發佈:2019-01-09

也許很多人和本人一樣深有體會,使用OpenSSL庫寫一個加密通訊過程,程式碼很容易就寫出來了,可是整個工作卻花了了好幾天。除將程式編譯成功外(沒有可以使用的證書檔案,編譯成功了,它並不能跑起來,並不表示它能正常使用,所以......),還需生成必要的證書和私鑰檔案使雙方能夠成功驗證對方。
找了n多的資料,很多是說的很模糊,看了n多的英文資料,還是沒有辦法(不知道是不是外國朋友都比較厲害,不用說明得太清?),無意間找到yawl([email protected])寫的文章,難得的漢字(呵呵)。裡面有生成證書部分,說到生成了Certificate Signing Request (CSR)檔案後,就有點不太清楚了。後面生成自簽字證書在很多地方都可以找到的,簽名這部分,yawl說mod_ssl有比較好的指令碼,但是筆者一時找不到,就自己用openssl的ca命令來完成了,也不是很麻煩。 

說說本人的操作環境:無盤工作站(有許可權問題使用起來不太方便),操作目錄是openssl/bin(沒辦法改不了環境變數,如果你可以改的話,就不用在這個目錄下工作了),為了方便本人把apps下的openssl.cnf也複製到了這個目錄下來。檔名都是以本人使用的來說了:

1.首先要生成伺服器端的私鑰(key檔案):
openssl genrsa -des3 -out server.key 1024
執行時會提示輸入密碼,此密碼用於加密key檔案(引數des3便是指加密演算法,當然也可以選用其他你認為安全的演算法.),以後每當需讀取此檔案(通過openssl提供的命令或API)都需輸入口令.如果覺得不方便,也可以去除這個口令,但一定要採取其他的保護措施!
去除key檔案口令的命令:
openssl rsa -in server.key -out server.key

2.openssl req -new -key server.key -out server.csr -config openssl.cnf
生成Certificate Signing Request(CSR),生成的csr檔案交給CA簽名後形成服務端自己的證書.螢幕上將有提示,依照其指示一步一步輸入要求的個人資訊即可.

3.對客戶端也作同樣的命令生成key及csr檔案:
openssl genrsa -des3 -out client.key 1024
openssl req -new -key client.key -out client.csr -config openssl.cnf

4.CSR檔案必須有CA的簽名才可形成證書.可將此檔案傳送到verisign等地方由它驗證,要交一大筆錢,何不自己做CA呢.
openssl req -new -x509 -keyout ca.key -out ca.crt -config openssl.cnf

5.用生成的CA的證書為剛才生成的server.csr,client.csr檔案簽名:
Openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -config openssl.cnf
Openssl ca -in client.csr -out client.crt -cert ca.crt -keyfile ca.key -config openssl.cnf

現在我們所需的全部檔案便生成了.

另:
client使用的檔案有:ca.crt,client.crt,client.key
server使用的檔案有:ca.crt,server.crt,server.key
.crt檔案和.key可以合到一個檔案裡面,本人把2個檔案合成了一個.pem檔案(直接拷貝過去就行了)

 將私鑰祕cer證書合併成p12格式  

1)生成pkcs12檔案,但不包含CA證書:  

openssl pkcs12 -export -inkey ocspserverkey.pem -in ocspservercert.pem  -out ocspserverpkcs12.pfx

2)  生成pcs12檔案,包含CA證書: 

openssl pkcs12 -export -inkey server.key -in server.crt -CAfile ca.crt -chain -out server.pfx

3)  將pcks12中的資訊分離出來,寫入檔案:

openssl pkcs12 –in ocsp1.pfx -out certandkey.pem

4)  顯示pkcs12資訊:

openssl pkcs12 –in ocsp1.pfx -info  

------------------------------------ 

 附: 1、把cert1.pem轉換成.p12格式  

openssl pkcs12 -export -in cert1.pem -inkey cert1.key -certfile ca.pem -out cert1.p12  

2、把cert1.pem轉換成.cer格式:只需把副檔名改為.cer即可.

相關推薦

openssl命令生成證書

也許很多人和本人一樣深有體會,使用OpenSSL庫寫一個加密通訊過程,程式碼很容易就寫出來了,可是整個工作卻花了了好幾天。除將程式編譯成功外(沒有可以使用的證書檔案,編譯成功了,它並不能跑起來,並不表示它能正常使用,所以......),還需生成必要的證書和私鑰檔案使雙方能夠成

Windows下openssl命令製作生成證書和自簽名

這些天領導讓我把web service 由原來的HTTP協議改用加密並且加上客戶認證,系統原本用的gsoap,沒辦法只好調查了,現在總結了一些有關openssl生產證書的步驟: 1、 新建工作目錄,將openssl安裝路徑下的apps/CA.pl 和 apps/openss

gmssl命令生成sm2證書

1、生成SM2私鑰及證書請求 gmssl ecparam -genkey -name sm2p256v1 -text -out user.key gmssl req -new -key user.k

openssl命令生成密碼的方法

使用Linux命令生成隨機密碼是一種基本的Linux操作功能,並有多種實現形式,具體使用方式如下: 1. 使用openssl生成隨機密碼 具體用法如下: openssl rand -base64 20 幾乎所有Linux發行版都包含openssl。我們可以利用它的隨機功能來生成可以用

Openssl Win64生成證書

一、準備工作: 1、 下載win64的Openssl,可到http://slproweb.com/products/Win32OpenSSL.html下載,這裡下載1.0.1j版本。 先安裝Visual C++ 2008Redistributables (x64),然後安

C++調openssl生成RSA加密秘鑰對

style alloc fputs bsp lose turn std mem 內存 直接上代碼。默認生成的是pkcs#1格式 // ---- rsa非對稱加解密 ---- // #define KEY_LENGTH 1024 //

linux之openssl命令Base64編碼解碼、md5/sha1摘要、AES/DES3加密解密

1、我們先看openssl help命令會輸出什麼? 2、我們用openssl命令實現字串和文字的Base64編碼和解碼 openssl base64 openssl base64 -

javadoc命令生成api幫助文件

到http://www.eclipse.org/swt下載了最新的swt包。可惜包裡只有原始碼,沒有api幫助文件。如果要學習的話,少了幫助文件哪能行,於是就用javadoc命令自己製作了一個。具體操作如下: 1.準備工作。 將下載到的swt-3.5.2-win32-win

JNIjavah命令生成標頭檔案

以下程式碼在Android中JNI的使用之HelloWorld的基礎上操作 可以在Eclipse工具的android工程下–>右鍵android tools–>add native support,彈出一個窗體,然後自定義庫名(xxx.so)–

CA證書籤署過程、openssl模擬生成證書檔案、使用者證書驗證過程

//單純使用公私鑰進行加解密,會存在公鑰被替換偽造的風險,無法判斷公鑰是否屬於服務提供商。 //所以,公鑰需要通過CA機構的認證。 //CA機構用自己的私鑰,對服務提供商的相關資訊及公鑰進行加密生成數字證書。 //在進行安全連線的時候,服務提供商將證書一同發給使用者。 //使用者收到證書後,從他的CA認證

使用openssl生成證書wolfssl實現ssl加密傳輸;

一、openssl生成證書 1、生成自簽名的ca證書,用來對伺服器和客戶端證書籤名; 1)生成ca私鑰 openssl genrsa -aes256 -out ca.key.pem 2048 2)生成自簽名ca證書 openssl req -key ca.key.pem -

openssl生成證書命令詳解

1、生成csr openssl req -new -newkey rsa:2048 -nodes -keyout您的域名.key -out您的域名.csr     req命令主要用於生成和處理PKCS#10證書請求。   -new               生成新的證

OpenSSL生成CA根證書來簽名Keytool生成證書請求

我上一篇文章 (配置JAVA SSL/TLS 之websocket wss互動式認證)生成的證書都是java  keytool 的證書,都是自簽名的證書, 不是第三方簽名的證書。下面我要虛擬一個CA出來, 用CA來簽名。1、建立CA的私鑰openssl genrsa -out

openssl為WEB服務器生成證書(自簽名CA證書,服務器證書

cat get web con 中文 ssg cer eap rand 用openssl為WEB服務器生成證書(自簽名CA證書,服務器證書) 來源: https://www.cnblogs.com/osnosn/p/10608455.html 來自osnosn的博客 寫於:

使用openssl命令制作ecc證書

key onf ecc 用戶 caf conf -o 生成 str # openssl ecparam -out EccCA.key -name prime256v1 -genkey # openssl req -config openssl.cnf -key EccCA.

openssl 生成證書基本原理

detail 數據傳輸 它的 註釋 有一個 -i gen 所在 sig 摘自:http://blog.csdn.net/oldmtn/article/details/52208747 1. 基本原理 公司一個項目要進行交易數據傳輸,因為這個項目銀行那邊也是剛剛開始啟動,所有

使用 openssl 生成證書

安全 ssl 證書 一、openssl 簡介openssl 是目前最流行的 SSL 密碼庫工具,其提供了一個通用、健壯、功能完備的工具套件,用以支持SSL/TLS 協議的實現。官網:https://www.openssl.org/source/構成部分密碼算法庫密鑰和證書封裝管理功能SSL通信AP

使用OpenSSL生成證書並配置Https

兩種 做的 class 令行 .net 基本 我們 服務端 mage 1、密鑰、證書請求、證書概要說明 在證書申請簽發過程中,客戶端涉及到密鑰、證書請求、證書這幾個概念。我們以申請證書的流程說明三者的關系。客戶端(相對於CA)在申請證書的時候,大體上有三個步驟: 第一步:

Openssl生成證書流程

Openssl生成證書流程Openssl生成證書流程偶然想到在內網配置https,就梳理了下利用openssl與ca生成證書的過程。生成過程分為服務端跟客戶端,這裏我在一臺上測試。一.介紹CA是Certificate Authority的縮寫,也就是認證中心。CA的功能有:頒發證書,更新證書,撤銷證書和驗證證

openssl基本原理 + 生成證書 + 使用實例

例子 概念 sta pan info create 公司 style 可能 ------轉載自 https://blog.csdn.net/oldmtn/article/details/52208747 【oldmtn】 1. 基本原理 參考:http://www.cn