openssl 證書操作命令
阿新 • • 發佈:2021-01-20
openssl命令使用可以參考https://www.cnblogs.com/gavin11/p/14302045.html
生成自籤CA證書
# 生成CA的key > openssl genrsa -des3 -out ca.key 4096
- -des3 用來加密私鑰檔案的三種對稱加密演算法(-des|-des3|-idea)。
- 4096 生成的金鑰位數。必須是本指令的最後一個引數
# 生成CA的證書
> openssl req -new -x509 -days 365 -key ca.key -out ca.crt
- req命令主要建立證書請求
- -new本選項產生一個新的證書請求,它會要使用者輸入建立證書請求的一些必須的資訊
- -days當使用-x509選項時,指定證書的有效期。預設為30天
- -key filename—— 指定從中讀取私鑰的檔案。它也讀取PEM格式的PKCS#8私鑰
- -out filename——輸出證書或證書請求檔名,不指定則預設標準輸出
# 生成我們的key和CSR這兩步與上面Self Signed中是一樣的
> openssl genrsa -des3 -out myserver.key 4096
> openssl req -new -key myserver.key -out myserver.csr
# 使用ca的證書和key,生成我們的證書
# 這裡的set_serial指明瞭證書的序號,如果證書過期了(365天后),
# 或者證書key洩漏了,需要重新發證的時候,就要加1
- -req——預設-in輸入證書。使用此選項表示輸入的是證書請求。
- -CA filename——指定要用於簽名的CA證書。當此選項存在時,x509的行為就像“迷你CA”。該CA使用此選項對輸入檔案進行簽名:將其頒發者名稱設定為CA的主題名稱,並使用CAs私鑰進行數字簽名。此選項通常與-req選項組合。沒有-req選項,輸入是必須是自簽名的證書。
- -CAkey filename——設定CA私鑰以簽署證書。如果未指定此選項,則假定CA私鑰存在於CA證書檔案中。
- -set_serial n—— 輸出自簽名證書時使用的序列號。如果字首為0x,則可以將其指定為十進位制值或十六進位制值。可以使用負序列號,但不建議這樣
生成self Signed證書
# 生成一個key,你的私鑰,openssl會提示你輸入一個密碼,可以輸入,也可以不輸, # 輸入的話,以後每次使用這個key的時候都要輸入密碼,安全起見,還是應該有一個密碼保護 > openssl genrsa -des3 -out selfsign.key 4096 # 使用上面生成的key,生成一個certificate signing request (CSR) # 如果你的key有密碼保護,openssl首先會詢問你的密碼,然後詢問你一系列問題, # 其中Common Name(CN)是最重要的,它代表你的證書要代表的目標,如果你為網站申請的證書,就要添你的域名。 > openssl req -new -key selfsign.key -out selfsign.csr # 生成Self Signed證書 selfsign.crt就是我們生成的證書了 > openssl x509 -req -days 365 -in selfsign.csr -signkey selfsign.key -out selfsign.crt # 另外一個比較簡單的方法就是用下面的命令,一次生成key和證書 > openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout privateKey.key -out certificate.crt
檢視證書
# 檢視KEY資訊 > openssl rsa -noout -text -in myserver.key # 檢視CSR資訊 > openssl req -noout -text -in myserver.csr # 檢視證書資訊 > openssl x509 -noout -text -in ca.crt # 驗證證書 # 會提示self signed > openssl verify selfsign.crt # 因為myserver.crt 是幅ca.crt釋出的,所以會驗證成功 > openssl verify -CAfile ca.crt myserver.crt
測試證書
Openssl提供了簡單的client和server工具,可以用來模擬SSL連線,做測試使用
# 連線到遠端伺服器 > openssl s_client -connect www.google.com.hk:443 # 模擬的HTTPS服務,可以返回Openssl相關資訊 # -accept 用來指定監聽的埠號 # -cert -key 用來指定提供服務的key和證書 > openssl s_server -accept 443 -cert myserver.crt -key myserver.key -www # 可以將key和證書寫到同一個檔案中 > cat myserver.crt myserver.key > myserver.pem # 使用的時候只提供一個引數就可以了 > openssl s_server -accept 443 -cert myserver.pem -www # 可以將伺服器的證書儲存下來 > openssl s_client -connect www.google.com.hk:443 </dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > remoteserver.pem # 轉換成DER檔案,就可以在Windows下直接查看了 > openssl x509 -outform der -in remoteserver.pem -out remoteserver.cer
tips
去掉key的密碼保護
openssl rsa -in myserver.key -out server.key.insecure