openssl 证书操作命令

一、简介

openssl命令集充分体现了unix编程的KISS精神——每个命令的功能都简单而且独立，通过脚本语言将其组合在一起就能实现强大的功能。

这里只简单介绍一些我们常用的命令，各个命令的详细帮助可以查阅对应的manpages，

二、常用功能

1、生成自己的CA (Certificate Authority)

＃ 生成CA的key
> openssl genrsa -des3 -out ca.key 4096

# 生成CA的证书
> openssl req -new -x509 -days 365 -key ca.key -out ca.crt

# 生成我们的key和CSR这两步与上面Self Signed中是一样的
> openssl genrsa -des3 -out myserver.key 4096
> openssl req -new -key myserver.key -out myserver.csr

# 使用ca的证书和key，生成我们的证书
# 这里的set_serial指明了证书的序号，如果证书过期了(365天后)，
# 或者证书key泄漏了，需要重新发证的时候，就要加1
> openssl x509 -req -days 365 -in myserver.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out myserver.crt

2、生成Self Signed证书

＃ 生成一个key，你的私钥,openssl会提示你输入一个密码，可以输入，也可以不输，

＃ 输入的话，以后每次使用这个key的时候都要输入密码，安全起见，还是应该有一个密码保护
> openssl genrsa -des3 -out selfsign.key 4096

# 使用上面生成的key，生成一个certificate signing request (CSR)
# 如果你的key有密码保护，openssl首先会询问你的密码，然后询问你一系列问题，
# 其中Common Name(CN)是最重要的，它代表你的证书要代表的目标，如果你为网站申请的证书，就要添你的域名。
> openssl req -new -key selfsign.key -out selfsign.csr

# 生成Self Signed证书 selfsign.crt就是我们生成的证书了
> openssl x509 -req -days 365 -in selfsign.csr -signkey selfsign.key -out selfsign.crt

＃ 另外一个比较简单的方法就是用下面的命令，一次生成key和证书
> openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout privateKey.key -out certificate.crt

3、查看证书

# 查看KEY信息
> openssl rsa -noout -text -in myserver.key

# 查看CSR信息
> openssl req -noout -text -in myserver.csr

# 查看证书信息
> openssl x509 -noout -text -in ca.crt

查看证书公钥对应的RSA模
$ openssl x509 -in mysite.pem -noout -modulus

查看证书subject项（包?N，C，L等）
$ openssl x509 -in mysite.pem -noout -subject -nameopt multiline

查看证书issuer项（包?N，C，L等）
$ openssl x509 -in mysite.pem -noout -issuer -nameopt multiline

检查证书用途
$ openssl x509 -purpose -noout -in 192.168.200.7.cer

4、验证证书

参考：http://blog.csdn.net/as3luyuan123/article/details/16872101

# 会提示self signed
> openssl verify selfsign.crt

# 因为myserver.crt 是幅ca.crt发布的，所以会验证成功
> openssl verify -CAfile ca.crt myserver.crt

5、不同格式证书的转换

参考：http://blog.csdn.net/as3luyuan123/article/details/16105475

http://blog.csdn.net/linda1000/article/details/8676330

# PKCS转换为PEM
> openssl pkcs12 -in myserver.pfx -out myserver.pem -nodes

# PEM转换为DER
> openssl x509 -outform der -in myserver.pem -out myserver.[der|crt]

# PEM提取KEY
> openssl RSA -in myserver.pem -out myserver.key

# DER转换为PEM
> openssl x509 -inform der -in myserver.[cer|crt] -out myserver.pem

# PEM转换为PKCS
> openssl pkcs12 -export -inkey myserver.key -in myserver.pem  -out myserver.pfx -certfile ca.crt

> openssl pkcs12 -export -inkey www.mysite.com.key -in www.mysite.com.pem -passin pass:123456 -passout pass:123456 -out www.mysite.com.p12

6、去掉key的密码保护

有时候每次都要输入密码太繁琐了,可以把Key的保护密码去掉

> openssl rsa -in myserver.key -out server.key.insecure

7、测试证书

Openssl提供了简单的client和server工具，可以用来模拟SSL连接，做测试使用。

# 连接到远程服务器
> openssl s_client -connect www.google.com.hk:443

# 模拟的HTTPS服务，可以返回Openssl相关信息
# -accept 用来指定监听的端口号
# -cert -key 用来指定提供服务的key和证书
> openssl s_server -accept 443 -cert myserver.crt -key myserver.key -www

# 可以将key和证书写到同一个文件中
> cat myserver.crt myserver.key > myserver.pem
# 使用的时候只提供一个参数就可以了
> openssl s_server -accept 443 -cert myserver.pem -www

# 可以将服务器的证书保存下来
> openssl s_client -connect www.google.com.hk:443 </dev/null | sed -ne ‘/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p‘ > remoteserver.pem
# 转换成DER文件，就可以在Windows下直接查看了
> openssl x509 -outform der -in remoteserver.pem -out remoteserver.cer

8、计算MD5和SHA1

# MD5 digest
> openssl dgst -md5 filename

# SHA1 digest
> openssl dgst -sha1 filename

时间： 2024-08-28 05:54:01

openssl 证书操作命令的相关文章

iOS push全方位解析（二）【译文】"——生成OpenSSL证书,Provisioning Profile

这是一篇来自raywenderlich的教程,内容翔实!结构简单透彻.讲解循序渐进.文章质量上乘!是一篇难的的博文!使用半瓶的英语水平翻译了一下: 1.[iOS push全方位解析](一) push的概述 2.[iOS push全方位解析](二) 生成push证书,生成Provisioning Profile(本篇) 3.[iOS push全方位解析](三) 一个极简的demo,并测试一下push 这里查看原文 ------------------------------------------

Linux下生成openssl证书

SSL 安全证书可以自己生成,也可以通过第三方的 CA ( Certification Authority )认证中心付费申请颁发. SSL 安全证书包括: 1.CA 证书,也叫根证书或中间级证书.单向认证的 https , CA 证书是可选的.主要目的是使证书构成一个证书链,以达到浏览器信任证书的目的.如果使用了 CA 证书,服务器证书和客户证书都使用 CA 证书来签名.如果不安装 CA 证书,浏览器默认认为是不安全的. 2.服务器证书.必选.通过服务器私钥,生成证书请求文件 CSR ,再通过

"iOS push全方位解析（二）【译文】"——生成OpenSSL证书,Provisioning Profile

这是一篇来自raywenderlich的教程,内容翔实!结构简单透彻.讲解循序渐进.文章质量上乘!是一篇难的的博文!使用半瓶的英语水平翻译了一下:1.[iOS push全方位解析](一) push的概述2.[iOS push全方位解析](二) 生成push证书,生成Provisioning Profile(本篇)3.[iOS push全方位解析](三) 一个极简的demo,并测试一下push 这里查看原文 ---------------------------------------------

10.openssl证书和CA功能概述

10.1 证书和CA功能概述 10.1.1 证书存在价值数字证书正是为了建立实体跟密钥对之间的联系而存在,证书验证中心CA充当了确认特定实体跟密钥对之间关系的确认人,并且通过用自己的私钥对这些确认信息和公钥一起签名来保证其可信性和不可改变性. 10.1.2 证书生命周期 a.证书申请:所谓证书生命周期是指从证书申请到证书被吊销的整个过程,这中间涉及证书申请.颁发.使用管理方面的问题. b.证书颁发 c.证书验证 d.证书吊销:一是从CA的证书数据库中删除被吊销的证书:而是对外公布被撤销的证书信

熟练掌握 openssl 证书命令说明

熟练掌握 openssl 证书命令说明2.在我电脑建立好一个目录,并启动 terminal ,进入该目录cd /Users/dhbm/Desktop/ssl/sign2018072913.生成Self Signed证书1).生成一个key(我的私钥)openssl genrsa -des3 -out selfsign.key 4096 结果 (过程中密码: 123456)Generating RSA private key, 4096 bit long modulus...........++

openssl证书相关

openssl genrsa -out server.key 1024(不要求输入密码) openssl req -new -key server.key -out server.csr cat server.csr 粘贴上述的文本到http://dc2.sankuai.info/certsrv/ 申请高级证书申请---->Web 服务器证书,Ok后,下载Base 64 编码的证书,使用文本编辑器打开: 粘贴上述内容到 pf 服务器存储到文件 server.crt 使用上述的文件server

openssl证书

生成密钥 openssl genrsa -out server.key 提取公钥 openssl rsa -in server.key -pubout 生成自签名证书 openssl req -new -x509 -key server.key -out server.crt -days 365 -new:新的申请 -key:密钥文件 -out:保存的文件 -days:有效期查看证书内容 openssl x509 -text -in server.crt 配置文件:/etc/pki/tls/o

OpenSSL证书生成及Mac上Apache服务器配置HTTPS(也适用centos)

自签名证书配置Apache服务器SSL 自己作为CA签发证书这里是OpenSSL和HTTPS的介绍OpenSSLHTTPS 开启HTTPS配置前提是已在Mac上搭建Apache服务器→Mac上Apache服务器搭建先在桌面创建个SSL文件夹,用来放生成的私钥证书文件打开终端cd到SSL文件夹cd desktop/SSL 1. 自签名证书 (1) 在SSL文件夹中生成私钥 (2) 生成自签名证书 Common Name应该与域名保持一致(如我的电脑搭建的服务器IP地址为192.168.1.1

Windows 环境下如何安装 OpenSSL证书

[合信ssl证书(https://ssl.51mubanji.com/) 第一步:下载 OpenSSL Windows 编译版安装 OpenSSL 有两种方式.第一种直接下载编译版 OpenSSL ; 第二种自己下载源码自己编译.本文仅对第一种方法进行描述.首先进入: http://slproweb.com/products/Win32OpenSSL.html → 根据自己系统位数选择相应版本.也可以在本站进行下载. 第二步:安装 OpenSSL Windows 编译版点击: NextOpe