生成x509格式的ca自簽名證書
# openssl req -new -x509 -keyout ca.key -out ca.crt
生成服務端的私鑰(key檔案)及csr檔案
# openssl genrsa -des3 -out server.key 1024
# openssl req -new -key server.key -out server.csr
生成客戶端的私鑰(key檔案)及csr檔案
# openssl genrsa -des3 -out client.key 1024
# openssl req -new -key client.key -out client.csr
用生成的ca的證書為剛才生成的server.csr,client.csr檔案簽名
# openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key
# openssl ca -in client.csr -out client.crt -cert ca.crt -keyfile ca.key
生成p12格式證書
# openssl pkcs12 -export -inkey client.key -in client.crt -out client.pfx
# openssl pkcs12 -export -inkey server.key -in server.crt -out server.pfx
生成pem格式證書
有時需要用到pem格式的證書,可以用以下方式合併證書檔案(crt)和私鑰檔案(key)來生成
# cat client.crt client.key> client.pem
# cat server.crt server.key > server.pem
pfx檔案轉換為x509證書檔案和rsa金鑰檔案
# openssl pkcs12 -in server.pfx -nodes -out server.pem
# openssl rsa -in server.pem -out server2.key
# openssl x509 -in server.pem -out server2.crt
pem--der/cer(base64--der編碼的轉換)
# openssl x509 -outform der -in server.pem -out server.cer
這樣生成服務端證書:ca.crt, server.key, server.crt, server.pem, server.pfx,
客戶端證書:ca.crt, client.key, client.crt, client.pem, client.pfx
openssl x509部分命令
列印出證書的內容:
openssl x509 -in cert.pem -noout -text
列印出證書的系列號
openssl x509 -in cert.pem -noout -serial
列印出證書的擁有者名字
openssl x509 -in cert.pem -noout -subject
以rfc2253規定的格式列印出證書的擁有者名字
openssl x509 -in cert.pem -noout -subject -nameopt rfc2253
在支援utf8的終端一行過列印出證書的擁有者名字
openssl x509 -in cert.pem -noout -subject -nameopt oneline -nameopt -escmsb
列印出證書的md5特徵引數
openssl x509 -in cert.pem -noout -fingerprint
列印出證書的sha特徵引數
openssl x509 -sha1 -in cert.pem -noout -fingerprint
把pem格式的證書轉化成der格式
openssl x509 -in cert.pem -inform pem -out cert.der -outform der
把乙個證書轉化成csr
openssl x509 -x509toreq -in cert.pem -out req.pem -signkey key.pem
給乙個csr進行處理,頒發字簽名證書,增加ca擴充套件項
openssl x509 -req -in careq.pem -extfile openssl.cnf -extensions v3_ca -signkey key.pem -out cacert.pem
給乙個csr簽名,增加使用者證書擴充套件項
openssl x509 -req -in req.pem -extfile openssl.cnf -extensions v3_usr -ca cacert.pem -cakey key.pem -cacreateserial
檢視csr檔案細節:
openssl req -in my.csr -noout -text
openssl自簽證書
1 自簽證書測試 安裝nginx yum y install nginx檢查nginx的ssl模組 2 準備私鑰和證書 建立私鑰 root docker cd etc nginx root docker nginx mkdir p ssl root docker nginx cd ssl root ...
OpenSSL自簽證書
安裝openssl 1.生成私鑰 openssl genrsa out server.key 20482.生成證書請求檔案scr openssl req new key server.key out server.csr 然後根據提示輸入一些資訊 common name這裡,要填寫成使用ssl證書 ...
建立CA自簽證書及發證
建立所需要的檔案。cd etc pki ca目錄中,在此目錄中 touch index.txt檔案 echo 01 serial ca自簽證書 umask 077 openssl genrsa out private cakey.pem 2048 這一步是建立私鑰,openssl req new x...