openssl 證書操作命令

2022-03-21 22:07:43 字數 3225 閱讀 8602

生成self signed證書

# 生成乙個key,你的私鑰,openssl會提示你輸入乙個密碼,可以輸入,也可以不輸,

# 輸入的話,以後每次使用這個key的時候都要輸入密碼,安全起見,還是應該有乙個密碼保護


> openssl genrsa -des3 -out selfsign.key 4096# 使用上面生成的key,生成乙個certificate signing request (csr)


# 如果你的key有密碼保護,openssl首先會詢問你的密碼,然後詢問你一系列問題,


# 其中common name(cn)是最重要的,它代表你的證書要代表的目標,如果你為**申請的證書,就要添你的網域名稱。


> openssl req -new -key selfsign.key -out selfsign.csr


# 生成self signed證書 selfsign.crt就是我們生成的證書了


> openssl x509 -req -days 365 -in selfsign.csr -signkey selfsign.key -out selfsign.crt


# 另外乙個比較簡單的方法就是用下面的命令,一次生成key和證書


> openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout privatekey.key -out certificate.crt

生成自己的ca (certificate authority)

# 生成ca的key


> openssl genrsa -des3 -out ca.key 4096# 生成ca的證書


> openssl req -new -x509 -days 365 -key ca.key -out ca.crt


# 生成我們的key和csr這兩步與上面self signed中是一樣的


> openssl genrsa -des3 -out myserver.key 4096


> openssl req -new -key myserver.key -out myserver.csr


# 使用ca的證書和key,生成我們的證書


# 這裡的set_serial指明了證書的序號,如果證書過期了(365天後),


# 或者證書key洩漏了,需要重新發證的時候,就要加1


> openssl x509 -req -days 365 -in myserver.csr -ca ca.crt -cakey ca.key -set_serial 01 -out myserver.crt



# 檢視key資訊


> openssl rsa -noout -text -inmyserver.key


# 檢視csr資訊


> openssl req -noout -text -inmyserver.csr


# 檢視證書資訊


> openssl x509 -noout -text -inca.crt


# 驗證證書


# 會提示self signed


>openssl verify selfsign.crt


# 因為myserver.crt 是幅ca.crt發布的,所以會驗證成功


> openssl verify -cafile ca.crt myserver.crt

有時候每次都要輸入密碼太繁瑣了,可以把key的保護密碼去掉

> openssl rsa -in myserver.key -out server.key.insecure

# pkcs轉換為pem


> openssl pkcs12 -in myserver.pfx -out myserver.pem -nodes


# pem轉換為der


> openssl x509 -outform der -in myserver.pem -out myserver.[der|crt]


# pem提取key
> openssl rsa -in myserver.pem -out myserver.key


# der轉換為pem


> openssl x509 -inform der -in myserver.[cer|crt] -out myserver.pem


# pem轉換為pkcs


> openssl pkcs12 -export -out myserver.pfx -inkey myserver.key -in myserver.pem -certfile ca.crt




openssl提供了簡單的client和server工具,可以用來模擬ssl連線,做測試使用。


# 連線到遠端伺服器


> openssl s_client -connect www.google.com.hk:443# 模擬的https服務,可以返回openssl相關資訊 


# -accept 用來指定監聽的埠號 


# -cert -key 用來指定提供服務的key和證書


> openssl s_server -accept 443 -cert myserver.crt -key myserver.key -www


# 可以將key和證書寫到同乙個檔案中


> cat myserver.crt myserver.key >myserver.pem


# 使用的時候只提供乙個引數就可以了


> openssl s_server -accept 443 -cert myserver.pem -www


# 可以將伺服器的證書儲存下來


> openssl s_client -connect www.google.com.hk:443 null | sed -ne '/-begin certificate-/,/-end certificate-/p' >remoteserver.pem


# 轉換成der檔案,就可以在windows下直接檢視了


> openssl x509 -outform der -in remoteserver.pem -out remoteserver.cer




# md5 digest


> openssl dgst -md5 filename


# sha1 digest


> openssl dgst -sha1 filename


 
openssl 證書操作命令
生成self signed證書 生成乙個key,你的私鑰,openssl會提示你輸入乙個密碼,可以輸入,也可以不輸,輸入的話,以後每次使用這個key的時候都要輸入密碼,安全起見,還是應該有乙個密碼保護 openssl genrsa des3 out selfsign.key 4096 使用上面生成的...


openssl 證書操作命令
生成self signed證書 生成乙個key,你的私鑰,openssl會提示你輸入乙個密碼,可以輸入,也可以不輸,輸入的話,以後每次使用這個key的時候都要輸入密碼,安全起見,還是應該有乙個密碼保護 openssl genrsa des3 out selfsign.key 4096 使用上面生成的...


openssl 證書操作命令
生成self signed證書 生成乙個key,你的私鑰,openssl會提示你輸入乙個密碼,可以輸入,也可以不輸,輸入的話,以後每次使用這個key的時候都要輸入密碼,安全起見,還是應該有乙個密碼保護 openssl genrsa des3 out selfsign.key 4096 使用上面生成的...