openssl生成證書以及獲取公鑰和私鑰
阿新 • • 發佈:2019-02-16
一、RSA方式
1. 建立CA根證書 1) 建立目錄RSA 2) 建立以下子目錄certs, crl, newcerts 3) 在RSA目錄下執行以下操作:
- echo 01 > serial
- touch index.txt
- openssl req -new -x509 -newkey rsa:1024 -keyout CA.key -out CA.pem (生成自簽名CA證書)
2. 客戶端證書請求
- openssl req -new -newkey rsa:1024 -keyout ddmdd_a.key -out ddmdd_a.req (生成ddmdd_a的金鑰和證書請求,注意: 此處所填寫的使用者資訊必須與CA證書資訊完全一致)
- openssl rsa -in ddmdd_a.key -pubout -out ddmdd_a.pub (匯出公鑰)
3. 為客戶簽發證書
- openssl ca -keyfile CA.key -cert CA.pem -in ddmdd_a.req -out ddmdd_a.pem -notext (使用CA金鑰和證書為ddmdd_a簽發證書ddmdd_a.pem)
- openssl ca -keyfile CA.key -cert CA.pem -in subca_rsareq.pem -out subca.pem -notext (簽發二級CA證書)
4. 轉換證書格式
- openssl x509 -inform pem -outform der -in ddmdd_a.pem -out ddmdd_a.der
- openssl pkcs12 -export -in ddmdd_a.pem -inkey ddmdd_a_rsakey.pem -out ddmdd_a.pfx
- openssl pkcs12 -in ddmdd_a.pfx -out ddmdd_a.pem
- openssl rsa -in ddmdd_a.key -out ddmdd_a_open.key (刪除私鑰密碼)
5. 生成證書撤消列表
- echo 01 > crlnumber
- openssl ca -keyfile CA.key -cert CA.pem -revoke ddmdd_a.pem (從CA中撤消證書ddmdd_a.pem)
- openssl ca -gencrl -keyfile CA.key -cert CA.pem -out CA.crl (生成或更新證書撤消列表)
6. 檢視證書資訊
- openssl x509 -in CA.pem -noout –text
二、DSA方式
1. 建立CA根證書 1) 建立目錄DSA 2) 建立以下子目錄certs, crl, newcerts 3) 在DSA目錄下執行以下操作:
- echo 01 > serial
- touch index.txt
- openssl dsaparam -out CA.para 1024 (生成dsa引數檔案)
- openssl req -new -x509 -newkey dsa:CA.para -keyout CA.key -out CA.pem (使用dsa引數生成自簽名CA證書)
2. 客戶端證書請求
- openssl dsaparam -out ddmdd_b.para 1024 (生成dsa引數檔案)
- openssl req -new -newkey dsa:ddmdd_b.para -keyout ddmdd_b.key -out ddmdd_b.req (使用dsa引數生成ddmdd_b的金鑰和證書請求,注意: 此處所填寫的使用者資訊必須與CA證書資訊完全一致)
- openssl dsa -in ddmdd_b.key -pubout -out ddmdd_b.pub (匯出公鑰)
3. 為客戶簽發證書
- openssl ca -keyfile CA.key -cert CA.pem -in ddmdd_b.req -out ddmdd_b.pem -notext (使用CA金鑰和證書為ddmdd_b簽發證書ddmdd_b.pem)
三、獲取公鑰和私鑰
a) 通過以上方法的生成證書的,可以通過一下命令獲得公鑰和私鑰。
匯出公鑰:
DSA方式:openssl dsa -in ddmdd_b.key -pubout -out ddmdd_b.pub.pem RSA方式:openssl rsa -in ddmdd_a.key -pubout -out ddmdd_a.pub.pem
匯出私鑰:
openssl rsa -in server.key -text > private.pem
b)直接生成公鑰和私鑰:
openssl genrsa -out private.pem 1024
openssl pkcs8 -nocrypt -topk8 -in private.pem -out pkcs8.pem
openssl rsa -pubout -in private.pem public.pem