openssl学习总结
提示:首先要了解openssl 生成证书的步骤和原理
一、openssl命令签名和验签
- 生成私钥和公钥:
openssl genrsa -out private.pem 1024
openssl rsa -in private.pem -pubout > public.pem
2.私钥签名
对数据data.txt进行签名
echo -n A message for signing > data.txt
openssl dast -sha1 -sign private.pem -out sha1.sign data.txt
3.公钥验签
openssl dast -sha1 -verify public.pem -signature sha1.sign data.txt
二、生成证书的步骤与原理
- 生成自己的私钥文件(.key)
- 基于私钥生成证书请求文件(.csr)
- 将证书请求文件(.csr)提交给证书颁发机构(CA),CA会对提交的证书请求中的所有信息生成一个摘要,然后使用CA根证书对应的私钥进行加密,这就是所谓的“签名”操作,完成签名后就会得到真正的签发证书(.cer或.crt)
- 用户拿到签发后的证书,可能需要导入到自己的密钥库中,如Java的keystore,或根据需要再进行各种格式转换(.pem .p12
.jks等等)
汇总所有的情况来看,生成证书不外乎三种情形: - 标准CA签发流程
- 生成自签名证书
- 生成私有CA签发的证书
2.生成自签名证书的步骤
1.模拟ca
- 生成ca的私钥
openssl genrsa -des3 -out ca.key 2048
2.生成根证书
openssl req -x509 -key ca.key -out ca.crt -days 365
1.模拟网站生成证书
- 生成私钥和证书申请文件
openssl genrsa -out my-site.com.key 2048
openssl req -new my-site.com.key -out my-site.com.csr
more my-site.com.csr
2. 用本地ca来签发证书
openssl x509 -req -in ../my-site.com/my-site.com.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out my-site.com.crt -day 365
3. 用本地服务配置证书
文章来源:https://www.toymoban.com/news/detail-776257.html
总结
提示:这里对文章进行总结:文章来源地址https://www.toymoban.com/news/detail-776257.html
openssl req命令参数说明
-days <n>
指定证书有效期,默认是30天,与 -x509 选项一起使用
-newkey rsa:2048
生成一个新的证书申请,同时生成一个 2048 位的 RSA 私钥
-keyout <keyfile>
新私钥要写入的文件
-nodes
不对新私钥加密
-key <keyfile>
读取指定的私钥文件.
-text
同时打印纯文本版本和编码版本信息
-noout
不打印编码后版本 (BASE64编码)
-new
生成一个新的证书申请,会提示用户输入相关字段的值,如果没有 -key 选项,会使用指定配置文件中的信息生成一个新的 RSA 私钥.
-x509
输出自签名的证书,而不是请求一个证书. 通常用于生成测试证书或自签名的根证书.
-subj <arg>
申请人信息,格式是 /C=CN/O=Corp/.../CN=www.ez.com,可以使用 \ 转义,不会跳过空格.
-[digets] 指定签署请求时使用的信息摘要算法,如 -md5,-sha1,-sha256
openssl req的-subj参数说明
/C= Country 国家
/ST= State or Province 省
/L= Location or City 城市
/O= Organization 组织或企业
/OU= Organization Unit 部门
/CN= Common Name 域名或IP
到了这里,关于使用OpenSSL生成/签发证书步骤的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
