使用openssl生成证书

⼀、openssl 简介

openssl 是⽬前最流⾏的 SSL 密码库⼯具，其提供了⼀个通⽤、健壮、功能完备的⼯具套件，⽤以⽀持SSL/TLS 协议的实现。官⽹：

构成部分

1. 密码算法库

2. 密钥和证书封装管理功能3. SSL通信API接⼝

⽤途

1. 建⽴ RSA、DH、DSA key 参数

2. 建⽴ X.509 证书、证书签名请求(CSR)和CRLs(证书回收列表)3. 计算消息摘要

4. 使⽤各种 Cipher加密/解密

5. SSL/TLS 客户端以及服务器的测试6. 处理S/MIME 或者加密邮件

⼆、RSA密钥操作

默认情况下，openssl 输出格式为 PKCS#1-PEM⽣成RSA私钥(⽆加密)

openssl genrsa -out rsa_private.key 2048

⽣成RSA公钥

openssl rsa -in rsa_private.key -pubout -out rsa_public.key

⽣成RSA私钥(使⽤aes256加密)

openssl genrsa -aes256 -passout pass:111111 -out rsa_aes_private.key 2048

其中 passout 代替shell 进⾏密码输⼊，否则会提⽰输⼊密码；⽣成加密后的内容如：

-----BEGIN RSA PRIVATE KEY-----Proc-Type: 4,ENCRYPTED

DEK-Info: AES-256-CBC,5584D000DDDD53DD5B12AE935F05A007Base64 Encoded Data

-----END RSA PRIVATE KEY-----

此时若⽣成公钥，需要提供密码

openssl rsa -in rsa_aes_private.key -passin pass:111111 -pubout -out rsa_public.key

其中 passout 代替shell 进⾏密码输⼊，否则会提⽰输⼊密码；

转换命令

私钥转⾮加密

openssl rsa -in rsa_aes_private.key -passin pass:111111 -out rsa_private.key

私钥转加密

openssl rsa -in rsa_private.key -aes256 -passout pass:111111 -out rsa_aes_private.key

私钥PEM转DER

openssl rsa -in rsa_private.key -outform der-out rsa_aes_private.der

-inform和-outform 参数制定输⼊输出格式，由der转pem格式同理查看私钥明细

openssl rsa -in rsa_private.key -noout -text

使⽤-pubin参数可查看公钥明细私钥PKCS#1转PKCS#8

openssl pkcs8 -topk8 -in rsa_private.key -passout pass:111111 -out pkcs8_private.key

其中-passout指定了密码，输出的pkcs8格式密钥为加密形式，pkcs8默认采⽤des3 加密算法，内容如下：

-----BEGIN ENCRYPTED PRIVATE KEY-----Base64 Encoded Data

-----END ENCRYPTED PRIVATE KEY-----

使⽤-nocrypt参数可以输出⽆加密的pkcs8密钥，如下：

-----BEGIN PRIVATE KEY-----Base64 Encoded Data

-----END PRIVATE KEY-----

三、⽣成⾃签名证书

⽣成 RSA 私钥和⾃签名证书

openssl req -newkey rsa:2048 -nodes -keyout rsa_private.key -x509 -days 365 -out cert.crt

req是证书请求的⼦命令，-newkey rsa:2048 -keyout private_key.pem 表⽰⽣成私钥(PKCS8格式)，-nodes 表⽰私钥不加密，若不带参数将提⽰输⼊密码；

-x509表⽰输出证书，-days365 为有效期，此后根据提⽰输⼊证书拥有者信息；若执⾏⾃动输⼊，可使⽤-subj选项：

openssl req -newkey rsa:2048 -nodes -keyout rsa_private.key -x509 -days 365 -out cert.crt -subj \"/C=CN/ST=GD/L=SZ/O=vihoo/OU=dev/CN=vivo.com/emailAddress=yy@vivo.com\"

使⽤ 已有RSA 私钥⽣成⾃签名证书

openssl req -new -x509 -days 365 -key rsa_private.key -out cert.crt

-new 指⽣成证书请求，加上-x509 表⽰直接输出证书，-key 指定私钥⽂件，其余选项与上述命令相同

四、⽣成签名请求及CA 签名

使⽤ RSA私钥⽣成 CSR 签名请求

openssl genrsa -aes256 -passout pass:111111 -out server.key 2048openssl req -new -key server.key -out server.csr

此后输⼊密码、server证书信息完成，也可以命令⾏指定各类参数

openssl req -new -key server.key -passin pass:111111 -out server.csr -subj \"/C=CN/ST=GD/L=SZ/O=vihoo/OU=dev/CN=vivo.com/emailAddress=yy@vivo.com\"

*** 此时⽣成的 csr签名请求⽂件可提交⾄ CA进⾏签发 ***查看CSR 的细节

cat server.csr

-----BEGIN CERTIFICATE REQUEST-----Base64EncodedData

-----END CERTIFICATE REQUEST-----openssl req -noout -text -in server.csr

使⽤ CA 证书及CA密钥 对请求签发证书进⾏签发，⽣成 x509证书

openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey ca.key -passin pass:111111 -CAcreateserial -out server.crt

其中 CAxxx 选项⽤于指定CA 参数输⼊

五、证书查看及转换

查看证书细节

openssl x509 -in cert.crt -noout -text

转换证书编码格式

openssl x509 -in cert.cer -inform DER -outform PEM -out cert.pem

合成 pkcs#12 证书(含私钥)

** 将 pem 证书和私钥转 pkcs#12 证书 **

openssl pkcs12 -export -in server.crt -inkey server.key -passin pass:111111 -password pass:111111 -out server.p12

其中-export指导出pkcs#12 证书，-inkey 指定了私钥⽂件，-passin 为私钥(⽂件)密码(nodes为⽆加密)，-password 指定 p12⽂件的密码(导⼊导出)** 将 pem 证书和私钥/CA 证书 合成pkcs#12 证书**

openssl pkcs12 -export -in server.crt -inkey server.key -passin pass:111111 \\ -chain -CAfile ca.crt -password pass:111111 -out server-all.p12

其中-chain指⽰同时添加证书链，-CAfile 指定了CA证书，导出的p12⽂件将包含多个证书。(其他选项：-name可⽤于指定server证书别名；-caname⽤于指定ca证书别名)

** pcks#12 提取PEM⽂件(含私钥) **

openssl pkcs12 -in server.p12 -password pass:111111 -passout pass:111111 -out out/server.pem

其中-password 指定 p12⽂件的密码(导⼊导出)，-passout指输出私钥的加密密码(nodes为⽆加密)导出的⽂件为pem格式，同时包含证书和私钥(pkcs#8)：

Bag Attributes

localKeyID: 97 DD 46 3D 1E 91 EF 01 3B 2E 4A 75 81 4F 11 A6 E7 1F 79 40

subject=/C=CN/ST=GD/L=SZ/O=vihoo/OU=dev/CN=vihoo.com/emailAddress=yy@vihoo.comissuer=/C=CN/ST=GD/L=SZ/O=viroot/OU=dev/CN=viroot.com/emailAddress=yy@viroot.com-----BEGIN CERTIFICATE-----MIIDazCCAlMCCQCIOlA9/dcfEjANBgkqhkiG9w0BAQUFADB5MQswCQYDVQQGEwJD1LpQCA+2B6dn4scZwaCD-----END CERTIFICATE-----Bag Attributes

localKeyID: 97 DD 46 3D 1E 91 EF 01 3B 2E 4A 75 81 4F 11 A6 E7 1F 79 40 Key Attributes:

-----BEGIN ENCRYPTED PRIVATE KEY-----MIIEvAIBADANBgkqhkiG9w0BAQEFAASCBKYwggSiAgEAAoIBAQDC/6rAc1YaPRNfK9ZLHbyBTKVaxehjxzJHHw==

-----END ENCRYPTED PRIVATE KEY-----

仅提取私钥 openssl pkcs12 -in server.p12 -password pass:111111 -passout pass:111111 -nocerts -out out/key.pem

仅提取证书(所有证书)

openssl pkcs12 -in server.p12 -password pass:111111 -nokeys -out out/key.pem

仅提取ca证书openssl pkcs12 -in server-all.p12 -password pass:111111 -nokeys -cacerts -out out/cacert.pem

仅提取server证书openssl pkcs12 -in server-all.p12 -password pass:111111 -nokeys -clcerts -out out/cert.pem

六、openssl 命令参考

1. openssl list-standard-commands(标准命令)

1) asn1parse: asn1parse⽤于解释⽤ANS.1语法书写的语句(ASN⼀般⽤于定义语法的构成) 2) ca: ca⽤于CA的管理 openssl ca [options]: 2.1) -selfsign

使⽤对证书请求进⾏签名的密钥对来签发证书。即\"⾃签名\"，这种情况发⽣在⽣成证书的客户端、签发证书的CA都是同⼀台机器(也是我们⼤多数实验中的情况)，我们可以使⽤同⼀个密钥对来进⾏\"⾃签名\" 2.2) -in file

需要进⾏处理的PEM格式的证书 2.3) -out file

处理结束后输出的证书⽂件 2.4) -cert file

⽤于签发的根CA证书 2.5) -days arg

指定签发的证书的有效时间 2.6) -keyfile arg CA的私钥证书⽂件 2.7) -keyform arg

CA的根私钥证书⽂件格式: 2.7.1) PEM 2.7.2) ENGINE 2.8) -key arg

CA的根私钥证书⽂件的解密密码(如果加密了的话) 2.9) -config file 配置⽂件

example1: 利⽤CA证书签署请求证书

openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key 3) req: X.509证书签发请求(CSR)管理 openssl req [options] outfile 3.1) -inform arg 输⼊⽂件格式 3.1.1) DER 3.1.2) PEM 3.2) -outform arg 输出⽂件格式 3.2.1) DER 3.2.2) PEM 3.3) -in arg 待处理⽂件 3.4) -out arg 待输出⽂件

3.5) -passin

⽤于签名待⽣成的请求证书的私钥⽂件的解密密码 3.6) -key file

⽤于签名待⽣成的请求证书的私钥⽂件 3.7) -keyform arg 3.7.1) DER 3.7.2) NET

3.7.3) PEM 3.8) -new 新的请求

3.9) -x509

输出⼀个X509格式的证书 3.10) -days

X509证书的有效时间 3.11) -newkey rsa:bits

⽣成⼀个bits长度的RSA私钥⽂件，⽤于签发 3.12) -[digest] HASH算法 3.12.1) md5 3.12.2) sha1 3.12.3) md2 3.12.4) mdc2 3.12.5) md4 3.13) -config file 指定openssl配置⽂件 3.14) -text: text显⽰格式

example1: 利⽤CA的RSA密钥创建⼀个⾃签署的CA证书(X.509结构) openssl req -new -x509 -days 3650 -key server.key -out ca.crt

example2: ⽤server.key⽣成证书签署请求CSR(这个CSR⽤于之外发送待CA中⼼等待签发) openssl req -new -key server.key -out server.csr example3: 查看CSR的细节

openssl req -noout -text -in server.csr

4) genrsa: ⽣成RSA参数

openssl genrsa [args] [numbits] [args]

4.1) 对⽣成的私钥⽂件是否要使⽤加密算法进⾏对称加密: 4.1.1) -des: CBC模式的DES加密 4.1.2) -des3: CBC模式的DES加密

4.1.3) -aes128: CBC模式的AES128加密 4.1.4) -aes192: CBC模式的AES192加密 4.1.5) -aes256: CBC模式的AES256加密

4.2) -passout arg: arg为对称加密(des、des、aes)的密码(使⽤这个参数就省去了console交互提⽰输⼊密码的环节) 4.3) -out file: 输出证书私钥⽂件 [numbits]: 密钥长度

example: ⽣成⼀个1024位的RSA私钥，并⽤DES加密(密码为1111)，保存为server.key⽂件 openssl genrsa -out server.key -passout pass:1111 -des3 1024

5) rsa: RSA数据管理

openssl rsa [options] outfile 5.1) -inform arg 输⼊密钥⽂件格式: 5.1.1) DER(ASN1) 5.1.2) NET

5.1.3) PEM(base64编码格式) 5.2) -outform arg 输出密钥⽂件格式 5.2.1) DER 5.2.2) NET 5.2.3) PEM 5.3) -in arg

待处理密钥⽂件 5.4) -passin arg

输⼊这个加密密钥⽂件的解密密钥(如果在⽣成这个密钥⽂件的时候，选择了加密算法了的话) 5.5) -out arg 待输出密钥⽂件 5.6) -passout arg

如果希望输出的密钥⽂件继续使⽤加密算法的话则指定密码 5.7) -des: CBC模式的DES加密 5.8) -des3: CBC模式的DES加密

5.9) -aes128: CBC模式的AES128加密 5.10) -aes192: CBC模式的AES192加密 5.11) -aes256: CBC模式的AES256加密 5.12) -text: 以text形式打印密钥key数据 5.13) -noout: 不打印密钥key数据

5.14) -pubin: 检查待处理⽂件是否为公钥⽂件 5.15) -pubout: 输出公钥⽂件 example1: 对私钥⽂件进⾏解密

openssl rsa -in server.key -passin pass:111 -out server_nopass.key example:2: 利⽤私钥⽂件⽣成对应的公钥⽂件

openssl rsa -in server.key -passin pass:111 -pubout -out server_public.key

6) x509:

本指令是⼀个功能很丰富的证书处理⼯具。可以⽤来显⽰证书的内容，转换其格式，给CSR签名等X.509证书的管理⼯作 openssl x509 [args] 6.1) -inform arg

待处理X509证书⽂件格式 6.1.1) DER 6.1.2) NET 6.1.3) PEM 6.2) -outform arg

待输出X509证书⽂件格式 6.2.1) DER 6.2.2) NET 6.2.3) PEM 6.3) -in arg

待处理X509证书⽂件 6.4) -out arg

待输出X509证书⽂件 6.5) -req

表明输⼊⽂件是⼀个\"请求签发证书⽂件(CSR)\"，等待进⾏签发 6.6) -days arg

表明将要签发的证书的有效时间 6.7) -CA arg

指定⽤于签发请求证书的根CA证书 6.8) -CAform arg

根CA证书格式(默认是PEM) 6.9) -CAkey arg

指定⽤于签发请求证书的CA私钥证书⽂件，如果这个option没有参数输⼊，那么缺省认为私有密钥在CA证书⽂件⾥有 6.10) -CAkeyform arg

指定根CA私钥证书⽂件格式(默认为PEM格式) 6.11) -CAserial arg

指定序列号⽂件(serial number file) 6.12) -CAcreateserial

如果序列号⽂件(serial number file)没有指定，则⾃动创建它 example1: 转换DER证书为PEM格式

openssl x509 -in cert.cer -inform DER -outform PEM -out cert.pem

example2: 使⽤根CA证书对\"请求签发证书\"进⾏签发，⽣成x509格式证书

openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt example3: 打印出证书的内容

openssl x509 -in server.crt -noout -text

7) crl: crl是⽤于管理CRL列表 openssl crl [args] 7.1) -inform arg 输⼊⽂件的格式

7.1.1) DER(DER编码的CRL对象)

7.1.2) PEM(默认的格式)(base64编码的CRL对象) 7.2) -outform arg 指定⽂件的输出格式

7.2.1) DER(DER编码的CRL对象)

7.2.2) PEM(默认的格式)(base64编码的CRL对象) 7.3) -text:

以⽂本格式来打印CRL信息值。 7.4) -in filename

指定的输⼊⽂件名。默认为标准输⼊。 7.5) -out filename

指定的输出⽂件名。默认为标准输出。 7.6) -hash

输出颁发者信息值的哈希值。这⼀项可⽤于在⽂件中根据颁发者信息值的哈希值来查询CRL对象。 7.7) -fingerprint

打印CRL对象的标识。 7.8) -issuer

输出颁发者的信息值。 7.9) -lastupdate

输出上⼀次更新的时间。 7.10) -nextupdate

打印出下⼀次更新的时间。 7.11) -CAfile file

指定CA⽂件，⽤来验证该CRL对象是否合法。 7.12) -verify

是否验证证书。

example1: 输出CRL⽂件，包括(颁发者信息HASH值、上⼀次更新的时间、下⼀次更新的时间) openssl crl -in crl.crl -text -issuer -hash -lastupdate –nextupdate example2: 将PEM格式的CRL⽂件转换为DER格式 openssl crl -in crl.pem -outform DER -out crl.der

8) crl2pkcs7: ⽤于CRL和PKCS#7之间的转换 openssl crl2pkcs7 [options] outfile 转换pem到spc

openssl crl2pkcs7 -nocrl -certfile venus.pem -outform DER -out venus.spc https://www.openssl.org/docs/apps/crl2pkcs7.html

9) pkcs12: PKCS#12数据的管理

pkcs12⽂件⼯具，能⽣成和分析pkcs12⽂件。PKCS#12⽂件可以被⽤于多个项⽬，例如包含Netscape、 MSIE 和 MS Outlook openssl pkcs12 [options]

http://blog.csdn.net/as3luyuan123/article/details/16105475 https://www.openssl.org/docs/apps/pkcs12.html

10) pkcs7: PCKS#7数据的管理

⽤于处理DER或者PEM格式的pkcs#7⽂件 openssl pkcs7 [options] outfile

http://blog.csdn.net/as3luyuan123/article/details/16105407 https://www.openssl.org/docs/apps/pkcs7.html

2. openssl list-message-digest-commands(消息摘要命令) 1) dgst: dgst⽤于计算消息摘要 openssl dgst [args] 1.1) -hex

以16进制形式输出摘要 1.2) -binary

以⼆进制形式输出摘要 1.3) -sign file

以私钥⽂件对⽣成的摘要进⾏签名 1.4) -verify file

使⽤公钥⽂件对私钥签名过的摘要⽂件进⾏验证 1.5) -prverify file

以私钥⽂件对公钥签名过的摘要⽂件进⾏验证 verify a signature using private key in file

1.6) 加密处理

1.6.1) -md5: MD5

1.6.2) -md4: MD4 1.6.3) -sha1: SHA1 1.6.4) -ripemd160

example1: ⽤SHA1算法计算⽂件file.txt的哈西值，输出到stdout openssl dgst -sha1 file.txt

example2: ⽤dss1算法验证file.txt的数字签名dsasign.bin，验证的private key为DSA算法产⽣的⽂件dsakey.pem openssl dgst -dss1 -prverify dsakey.pem -signature dsasign.bin file.txt

2) sha1: ⽤于进⾏RSA处理 openssl sha1 [args] 2.1) -sign file

⽤于RSA算法的私钥⽂件 2.2) -out file 输出⽂件爱你 2.3) -hex

以16进制形式输出 2.4) -binary

以⼆进制形式输出

example1: ⽤SHA1算法计算⽂件file.txt的HASH值,输出到⽂件digest.txt openssl sha1 -out digest.txt file.txt

example2: ⽤sha1算法为⽂件file.txt签名,输出到⽂件rsasign.bin，签名的private key为RSA算法产⽣的⽂件rsaprivate.pem openssl sha1 -sign rsaprivate.pem -out rsasign.bin file.txt3. openssl list-cipher-commands (Cipher命令的列表) 1) aes-128-cbc 2) aes-128-ecb 3) aes-192-cbc 4) aes-192-ecb 5) aes-256-cbc 6) aes-256-ecb 7) base64 8) bf 9) bf-cbc 10) bf-cfb 11) bf-ecb 12) bf-ofb 13) cast 14) cast-cbc 15) cast5-cbc 16) cast5-cfb 17) cast5-ecb 18) cast5-ofb 19) des 20) des-cbc 21) des-cfb 22) des-ecb 23) des-ede 24) des-ede-cbc 25) des-ede-cfb 26) des-ede-ofb 27) des-ede3 28) des-ede3-cbc 29) des-ede3-cfb 30) des-ede3-ofb 31) des-ofb 32) des3 33) desx 34) rc2

35) rc2-40-cbc 36) rc2-64-cbc 37) rc2-cbc 38) rc2-cfb 39) rc2-ecb 40) rc2-ofb 41) rc4 42) rc4-40

View Code