2. 程式人生 > >OpenSSL命令詳解(一)——標準命令

OpenSSL命令詳解(一)——標準命令

阿新 發佈:2019-01-09

OpenSSL命令分為以下3個部分。
這裡寫圖片描述

標準命令Standard commands

1. asn1parse:

asn1parse用於解釋用ANS.1語法書寫的語句(ASN一般用於定義語法的構成)

演示命令操作順序:4 -> 5 -> 3 -> 2-> 6 -> 7 ->8

2. ca:

ca用於CA的管理.
用法:

openssl ca [-options]。

    2.1) -selfsign
    使用對證書請求進行簽名的金鑰對來簽發證書。即"自簽名",這種情況發生在生成證書的客戶端、簽發證書的CA都是同一臺機器(也是我們大多數實驗中的情況),我們可以使用同一個金鑰對來進行"自簽名"
    2.2) -in file
    需要進行處理的PEM格式的證書
    2.3) -out file
    處理結束後輸出的證書檔案
    2.4) -cert file
    用於簽發的根CA證書
    2.5) -days arg 
    指定簽發的證書的有效時間
    2.6) -keyfile arg   
    CA的私鑰證書檔案
    2.7) -keyform arg
    CA的根私鑰證書檔案格式:
        2.7.1) PEM
        2.7.2) ENGINE 
    2.8) -key arg   
    CA的根私鑰證書檔案的解密密碼(如果加密了的話)
    2.9) -config file    
    配置檔案

openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key

這裡寫圖片描述

3. X.509證書籤發請求(CSR)管理

用法:

openssl req [options] outfile

    3.1) -inform arg
    輸入檔案格式
        3.1.1) DER
        3.1.2) PEM
    3.2) -outform arg   
    輸出檔案格式
        3.2.1) DER
        3.2.2) PEM
    3.3) -in arg
    待處理檔案
    3.4) -out arg
    待輸出檔案
    3.5) -passin        
    用於簽名待生成的請求證書的私鑰檔案的解密密碼
    3.6) -key file
    用於簽名待生成的請求證書的私鑰檔案
    3.7) -keyform arg  
        3.7.1) DER
        3.7.2) NET
        3.7.3) PEM
    3.8) -new
    新的請求
    3.9) -x509          
    輸出一個X509格式的證書 
    3.10) -days
    X509證書的有效時間  
    3.11) -newkey rsa:bits 
    生成一個bits長度的RSA私鑰檔案,用於簽發  
    3.12) -[digest]
    HASH演算法
        3.12.1) md5
        3.12.2) sha1
        3.12.3) md2
        3.12.4) mdc2
        3.12.5) md4
    3.13) -config file   
    指定openssl配置檔案
    3.14) -text: text顯示格式

example1: 利用CA的RSA金鑰建立一個自簽署的CA證書(X.509結構)

openssl req -new -x509 -days 3650 -key ca.key -out ca.crt

這裡寫圖片描述

example2: 用server.key生成證書籤署請求CSR(這個CSR用於傳送給CA中心等待簽發)

openssl req -new -key server.key -out server.csr

這裡寫圖片描述

example3: 檢視CSR的細節

openssl req -noout -text -in server.csr

這裡寫圖片描述

4. genrsa: 生成RSA引數

用法:

openssl genrsa [args] [numbits]
4.1) 對生成的私鑰檔案是否要使用加密演算法進行對稱加密:
4.1.1) -des: CBC模式的DES加密
4.1.2) -des3: CBC模式的3DES加密
4.1.3) -aes128: CBC模式的AES128加密
4.1.4) -aes192: CBC模式的AES192加密
4.1.5) -aes256: CBC模式的AES256加密
4.2) -passout arg: arg為對稱加密(des、3des、aes)的密碼(使用這個引數就省去了console互動提示輸入密碼的環節)
4.3) -out file: 輸出證書私鑰檔案
[numbits]: 金鑰長度
example: 生成一個1024位的RSA私鑰,並用3DES加密(密碼為123456),儲存為server.key檔案
openssl genrsa -out server.key -passout pass:123456 -des3 1024


這裡寫圖片描述

5. RSA資料管理

用法:

openssl rsa [options] outfile

    5.1) -inform arg
    輸入金鑰檔案格式:
        5.1.1) DER(ASN1)
        5.1.2) NET
        5.1.3) PEM(base64編碼格式)
     5.2) -outform arg
     輸出金鑰檔案格式
        5.2.1) DER
        5.2.2) NET
        5.2.3) PEM
    5.3) -in arg
    待處理金鑰檔案 
    5.4) -passin arg
    輸入這個加密金鑰檔案的解密金鑰(如果在生成這個金鑰檔案的時候,選擇了加密演算法了的話)
    5.5) -out arg
    待輸出金鑰檔案
    5.6) -passout arg  
    如果希望輸出的金鑰檔案繼續使用加密演算法的話則指定密碼 
    5.7) -des: CBC模式的DES加密
    5.8) -des3: CBC模式的3DES加密
    5.9) -aes128: CBC模式的AES128加密
    5.10) -aes192: CBC模式的AES192加密
    5.11) -aes256: CBC模式的AES256加密
    5.12) -text: 以text形式列印金鑰key資料 
    5.13) -noout: 不列印金鑰key資料 
    5.14) -pubin: 檢查待處理檔案是否為公鑰檔案
    5.15) -pubout: 輸出公鑰檔案
example1: 對私鑰檔案進行解密

openssl rsa -in server.key -passin pass:123456 -out server_nopass.key

這裡寫圖片描述

example:2: 利用私鑰檔案生成對應的公鑰檔案

openssl rsa -in server.key [-passin pass:123456] -pubout -out server_public.key

這裡寫圖片描述

6. x509

openssl x509是一個功能很豐富的證書處理工具。可以用來顯示證書的內容,轉換其格式,給CSR簽名等X.509證書的管理工作
用法:

openssl x509 [args] 

    6.1) -inform arg
    待處理X509證書檔案格式
        6.1.1) DER
        6.1.2) NET
        6.1.3) PEM
    6.2) -outform arg   
    待輸出X509證書檔案格式
        6.2.1) DER
        6.2.2) NET
        6.2.3) PEM
    6.3) -in arg 
    待處理X509證書檔案
    6.4) -out arg       
    待輸出X509證書檔案
    6.5) -req            
    表明輸入檔案是一個"請求籤發證書檔案(CSR)",等待進行簽發 
    6.6) -days arg       
    表明將要簽發的證書的有效時間 
    6.7) -CA arg 
    指定用於簽發請求證書的根CA證書 
    6.8) -CAform arg     
    根CA證書格式(預設是PEM) 
    6.9) -CAkey arg      
    指定用於簽發請求證書的CA私鑰證書檔案,如果這個option沒有引數輸入,那麼預設認為私有金鑰在CA證書檔案裡有
    6.10) -CAkeyform arg  
    指定根CA私鑰證書檔案格式(預設為PEM格式)
    6.11) -CAserial arg   
    指定序列號檔案(serial number file)
    6.12) -CAcreateserial 
    如果序列號檔案(serial number file)沒有指定,則自動建立它     

example1: 轉換DER證書為PEM格式

openssl x509 -in cert.cer -inform DER -outform PEM -out cert.pem

example2: 使用根CA證書對"請求籤發證書"進行簽發,生成x509格式證書

openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out serverx509.crt
這裡寫圖片描述

example3: 打印出證書的內容

openssl x509 -in server.crt -noout -text
這裡寫圖片描述

證書驗籤:
openssl verify -CAfile demoCA/cacert.pem usercert.crt
這裡寫圖片描述

7. crl

crl是用於管理CRL列表 .
openssl crl [args]
7.1) -inform arg
輸入檔案的格式
7.1.1) DER(DER編碼的CRL物件)
7.1.2) PEM(預設的格式)(base64編碼的CRL物件)
7.2) -outform arg
指定檔案的輸出格式
7.2.1) DER(DER編碼的CRL物件)
7.2.2) PEM(預設的格式)(base64編碼的CRL物件)
7.3) -text:
以文字格式來列印CRL資訊值。
7.4) -in filename
指定的輸入檔名。預設為標準輸入。
7.5) -out filename
指定的輸出檔名。預設為標準輸出。
7.6) -hash
輸出頒發者資訊值的雜湊值。這一項可用於在檔案中根據頒發者資訊值的雜湊值來查詢CRL物件。
7.7) -fingerprint
列印CRL物件的標識。
7.8) -issuer
輸出頒發者的資訊值。
7.9) -lastupdate
輸出上一次更新的時間。
7.10) -nextupdate
打印出下一次更新的時間。
7.11) -CAfile file
指定CA檔案,用來驗證該CRL物件是否合法。
7.12) -verify
是否驗證證書。
example1: 輸出CRL檔案,包括(頒發者資訊HASH值、上一次更新的時間、下一次更新的時間)

openssl crl -in crl.crl -text -issuer -hash -lastupdate –nextupdate 

example2: 將PEM格式的CRL檔案轉換為DER格式

openssl crl -in crl.pem -outform DER -out crl.der

8. crl2pkcs7

用於CRL和PKCS#7之間的轉換
openssl crl2pkcs7 [options] outfile
轉換pem到spc
openssl crl2pkcs7 -nocrl -certfile venus.pem -outform DER -out venus.spc
https://www.openssl.org/docs/apps/crl2pkcs7.html

9. pkcs12:PKCS#12資料的管理

10. pkcs7: PCKS#7資料的管理

相關推薦

OpenSSL命令——標準命令

OpenSSL命令分為以下3個部分。 標準命令Standard commands 1. asn1parse: asn1parse用於解釋用ANS.1語法書寫的語句(ASN一般用於定義語法的構成) 演示命令操作順序:4 -> 5

網工最實用最常用的網絡命令之一——Ping 命令

關閉 連通 自己 命令詳解 機房 幫助 辦公室 技術分享 詳解 Ping是Windows、Unix和Linux系統下的一個命令。ping也屬於一個通信協議,是TCP/IP協議的一部分。利用“ping”命令可以檢查網絡是否連通,可以很好地幫助我們分析和判定網絡故障。 網工最實

linux free命令

一. 作用     free命令可以顯示當前系統未使用的和已使用的記憶體數目,還可以顯示被核心使用的記憶體緩衝區。 二. 語法  free [選項] 三. 選項       預設情況下,即在沒有選項的情況下,"free"命令顯示記憶體的使用資訊。預設

Linux常用命令--技術流ken

  本節內容   基礎命令:lsmanpwdcdmkdirechotouchcpmvrmrmdircatmorelessheadtailclearpoweroffreboot進階命令(下一章節):aliasunaliasunamesuhostnamehistorywhichwcwwh

linux awk命令 awk語法 awk運算 awk陣列

如何把一行豎排的資料轉換成橫排? awk '{printf("%s,",$1)}' filename awk中使用NR和FNR的一些例子 http://blog.sina.com.cn/s/blog_5a3640220100b7c8.html http://www.linuxidc.com/Linux

linux系統常用命令

遠程登錄 ring 問號 鏈接 重置 帳號 查看 tar 更新 Linux命令格式:命令選項參數 (大部分命令是這個格式) 註意: 1.命令區分大小寫 2.短選項可以合並 長選項不能合並 如 : 短選項 -l -h 可以合並為 -lh 長選項 不能合並 1

Linux常用命令示例-檔案管理

1、touch 命令 使用說明: Linux touch命令用於修改檔案或者目錄的時間屬性,包括存取時間和更改時間。若檔案不存在,系統會建立一個新的檔案。 使用語法: touch [-acfm][-d<日期時間>][-r<參考檔案或目錄>

OpenSSL 命令——摘要演算法、簽名、驗籤

鋒影 email:[email protected] 如果你認為本系列文章對你有所幫助,請大家有錢的捧個錢場,點選此處贊助,贊助額0.1元起步,多少隨意 用什麼摘要演算法指令代替時,預設使用該演算法,但也可以指定其他演算法。 使用指令 

[CSS]CSS浮動float標準文件流

Web網頁的製作,是一個流,必須自上而下依次進行。 標準文件流 流的比喻很形象,就像水流一樣,必須從上而下,像織毛衣一樣。 那麼究竟什麼是標準文件流呢?在web中,標準文件流有以下幾個特點: 高矮不齊,底邊對齊 自動換行 無論字型大小有多高,

C++標準模板庫 迭代器 iterator

[cpp] view plaincopyprint? #include <vector> #include <iostream> #include <list> #include <

JMeter學習—006—JMeter 命令非GUI模式-分散式遠端執行指令碼及檢視指定結果、日誌

JMeter分散式執行指令碼,以更好的達到預設的效能測試(併發)場景,前文解說了jmeter使用命令列執行各個引數的作用以及命令列使用範例,那麼此文就繼續前文,針對 JMeter 的命令列模式之分散式遠端執行模式進行詳細解說。一、應用場景 1、無需互動介面或受環境限制(l

elastic-job:數據分片

count 任務 不同的 應該 center shc 偶數 int ext 數據分片的目的在於把一個任務分散到不同的機器上運行,既可以解決單機計算能力上限的問題,也能降低部分任務失敗對整體系統的影響。elastic-job並不直接提供數據處理的功能,框架只會將分片項分配至各

JVM的基本結構及其各部分

後臺 棧幀 結束 依次 方法參數 ati 0.00 實例 同時存在 JVM的基本結構及其各部分詳解(一)(轉載) 1 java虛擬機的基本結構如圖: 1)類加載子系統負責從文件系統或者網絡中加載Class信息,加載的類信息存放於一塊稱為方法區的內存空間。除了類的信息外,方

設計模式

att 定義 面向對象設計 設計 sig com 繼承 行為模式 接口 一、設計模式定義 設計模式(Design Pattern)是一套被反復使用、多數人知曉的、經過分類的、代碼設計經驗的總結。 使用設計模式的目的:為了代碼可重用性、讓代碼更容易被他人理解、保證代碼可靠性。

mybatis ------JDBC

jdbc javax 發出 一段 true his 實例 用戶名 移植 1、什麽是MyBatis?   MyBatis 本是apache的一個開源項目iBatis, 2010年這個項目由apache software foundation 遷移到了google code,

Maven------ Maven概述

粘貼 cvs 模塊 strong ron 標準化 pom 標準 只需要 1、引言     你能搜到這個教程,說明你對 Maven 感興趣,但是又不是太理解。那麽接下來這個系列的教程將會詳細講解 Maven 的用法,相信你看完之後,一定能對 Maven 的理解更進一步!

.Net AppDomain

() arc .com args [] adas 功能 reading wpa AppDomain是CLR的運行單元,它可以加載Assembly、創建對象以及執行程序。AppDomain是CLR實現代碼隔離的基本機制。 每一個AppDomain可以單獨運行、停止;每個App

防火墻iptables

主從dns服務器 進行 所有 out show mountd 讀取 ppp 概念 -- 防火墻 常見的防火墻 :瑞星 江民 諾頓 卡巴斯基 天網...... iptables firewalld http://www.netfilter.org/ netfilter

Windows滲透利器之Pentest BOX使用

內存 標簽 配置 ram 添加 概覽 測試環境 功能 ruby 內容概覽: 知識科普 優缺點總結 功能參數詳解翻譯: 控制臺參

JVM類加載機制JVM類加載過程

進行 虛擬機啟動 類加載的時機 bsp 參與 tro ext 環境 java代碼 首先Throws(拋出)幾個自己學習過程中一直疑惑的問題: 1、什麽是類加載?什麽時候進行類加載? 2、什麽是類初始化?什麽時候進行類初始化? 3、什麽時候會為變量分配內存? 4、什麽時候會為