openssl常用证书生成及相关使用

已于 2022-10-11 11:47:34 修改
阅读量1.6k 收藏 3
点赞数
文章标签: https ssl
于 2022-10-11 11:15:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ITChark/article/details/127258218
版权

openssl生成p12,jks,cer证书相关操作

说明

由于开发过程中会使用到证书相关的生成及认证,在网上找了些相关的证书生成以及使用的方式,以此备忘。

生成证书

从根证书一步步生成到jks证书相关的过程:

  1. 创建根证私钥
    openssl genrsa -out root-key.key 1024
  2. 创建根证书请求文件;
    openssl req -new -out root-req.csr -key root-key.key -keyform PEM
  3. 通过根证书及请求文件生成自签根证书;
    openssl x509 -req -in root-req.csr -out root-cert.cer -signkey root-key.key -CAcreateserial -days 3650
  4. 通过自签根证书及根证书导出p12格式根证书;
    openssl pkcs12 -export -clcerts -in root-cert.cer -inkey root-key.key -out root.p12
  5. 通过自签根证书及密码生成root.jks文件;
    keytool -import -v -trustcacerts -storepass 123456 -alias root -file root-cert.cer -keystore root.jks

生成客户端文件

类似于从从根证书一步步生成到jks证书相关的过程生成客户端文件:

  1. 生成客户端key
    openssl genrsa -out client-key.key 1024
  2. 生成客户端请求文件;
    openssl req -new -out client-req.csr -key client-key.key
  3. 生成客户端证书(root证书,rootkey,客户端key,客户端请求文件这4个生成客户端证书);
    openssl x509 -req -in client-req.csr -out client-cert.cer -signkey client-key.key -CA root-cert.cer -CAkey root-key.key -CAcreateserial -days 3650
  4. 生成客户端p12格式根证书;
    openssl pkcs12 -export -clcerts -in client-cert.cer -inkey client-key.key -out client.p12
  5. 生成客户端jks;
    keytool -import -v -trustcacerts -storepass 123456 -alias client -file client-cert.cer -keystore client.jks

生成服务端文件

  1. 生成服务端key
    openssl genrsa -out server-key.key 1024
  2. 生成服务端请求文件;
    openssl req -new -out server-req.csr -key server-key.key
  3. 生成服务端证书(root证书,rootkey,客户端key,客户端请求文件这4个生成客户端证书);
    openssl x509 -req -in server-req.csr -out server-cert.cer -signkey server-key.key -CA root-cert.cer -CAkey root-key.key -CAcreateserial -days 3650
  4. 生成服务端p12格式根证书;
    openssl pkcs12 -export -clcerts -in server-cert.cer -inkey server-key.key -out server.p12
  5. 服务端JKS;
    keytool -import -v -trustcacerts -storepass 123456 -alias server -file server-cert.cer -keystore server.jks

无密码key命令

  1. 无密码key
    openssl rsa -in client-key.key -out client-key.key.unsecure

私钥对文件签名,公钥进行验证并解密

  1. 私钥签名脚本
#!/bin/bash
# 这个是用私钥签名脚本,对应的是公钥验证
# 需要加密的文件
ENCRYPT_FILE=$1
# 私钥文件
USER_KEY=$2
if [ ! -f $ENCRYPT_FILE ]; then
    echo "待加密文件 $ENCRYPT_FILE 不存在,退出程序"
    exit 1
fi
work_path=$(dirname $0)
USER_KEY=$work_path/genrsa.pri
ENCRYPT_FILE_PATH=`dirname $ENCRYPT_FILE`/
ENCRYPT_FILE_NAME=`basename $ENCRYPT_FILE`
ENCRYPT_FILE_AES=${ENCRYPT_FILE_PATH}${ENCRYPT_FILE_NAME}".aes"
URANDOM_STRING_FILE=${ENCRYPT_FILE_PATH}"urandom.key"
URANDOM_STRING_FILE_ENCRYPT=${ENCRYPT_FILE_PATH}"urandom.rsa"
# 加密后生成的文件, 默认pkg结尾
ENCRYPT_FILE_PKG=$ENCRYPT_FILE_PATH`echo $ENCRYPT_FILE | sed 's/^.*\///' | sed 's/\..*$/_enc\.pkg/'`
# 随机产生一个key值,并保存到urandom.key
dd if=/dev/urandom bs=32 count=1 2>/dev/null | hexdump -v -e '/1 "%02X"' > ${URANDOM_STRING_FILE}
# 用私钥签名
openssl rsautl -sign -in ${URANDOM_STRING_FILE}  -inkey ${USER_KEY}   -out ${URANDOM_STRING_FILE_ENCRYPT}
# 加密需要加密的文件,kfile为上面产生的urandom.key
openssl enc -e -aes-256-cbc -in ${ENCRYPT_FILE} -kfile ${URANDOM_STRING_FILE} -out ${ENCRYPT_FILE_AES}
# 将 opensslurandom.key而产生的urandom.des3 和
# openssl 加密文件而产生的ENCRYPT_FILE_AES文件
# 一起放入的一个文件中
# 这里urandom.des3的字节长度为256,解密时要记得
cat ${URANDOM_STRING_FILE_ENCRYPT} ${ENCRYPT_FILE_AES} > ${ENCRYPT_FILE_PKG}
# 删除不需要的文件
rm -f ${ENCRYPT_FILE_AES} ${URANDOM_STRING_FILE} ${URANDOM_STRING_FILE_ENCRYPT} ${ENCRYPT_FILE}
echo "success"
exit 0
  1. 公钥验签解签脚本
#!/bin/bash
# 这个是公钥验证脚本,对应的是私钥签名的脚本
# 需要解密的文件
ENCRYPT_PKG=$1
if [ ! -f $ENCRYPT_PKG ]; then
    echo "待加密文件 $ENCRYPT_PKG 不存在,退出程序"
    exit 1
fi
work_path=$(dirname $0)
USER_KEY=$work_path/rsa.pub
ENCRYPT_PKG_PATH=`dirname $ENCRYPT_PKG`/
ENCRYPT_PKG_NAME=`basename $ENCRYPT_PKG`
FILENAME=`echo $ENCRYPT_PKG_NAME | sed 's/^.*\///'`

ENCRYPT_FILE_AES=${ENCRYPT_PKG_PATH}${FILENAME}".aes"
URANDOM_STRING_FILE=${ENCRYPT_PKG_PATH}"urandom.key"
URANDOM_STRING_FILE_ENCRYPT=${ENCRYPT_PKG_PATH}"urandom.rsa"

# 解密后的文件默认是 .zip 类型压缩文件
DECRYPT_FILE=${ENCRYPT_PKG_PATH}`echo ${FILENAME} | sed 's/_enc.*$/\.zip/'`

dd if=${ENCRYPT_PKG} of=$URANDOM_STRING_FILE_ENCRYPT bs=256 count=1
dd if=${ENCRYPT_PKG} of=${ENCRYPT_FILE_AES} bs=256 skip=1

#openssl enc -d -des3 -a -salt -in ${URANDOM_STRING_FILE_ENCRYPT} -kfile ${USER_KEY} -out ${URANDOM_STRING_FILE}
# 用公钥验证
openssl rsautl -verify -in ${URANDOM_STRING_FILE_ENCRYPT} -inkey ${USER_KEY} -pubin -out ${URANDOM_STRING_FILE}
openssl enc -d -aes-256-cbc -in ${ENCRYPT_FILE_AES} -kfile ${URANDOM_STRING_FILE} -out ${DECRYPT_FILE}
rm -f ${ENCRYPT_FILE_AES} ${URANDOM_STRING_FILE} ${URANDOM_STRING_FILE_ENCRYPT} ${ENCRYPT_PKG}
echo "success"
exit 0

关于springboot开启https使用

以下两种情况选用一种情况即可开启,使用application.properties文件或application.yml文件配置都能

  1. 使用jks文件-application.properties文件增加配置
server.ssl.key-store=classpath:client.jks
server.ssl.key-store-password=654321
server.ssl.keyStoreType=JKS
#server.ssl.keyAlias=client
#使用绝对路径
#server.ssl.trust-store=/home/conf/tomcat.jks
#使用相对路径
#server.ssl.trust-store=classpath:trust.jks
#server.ssl.trust-store-password=654321
#server.ssl.client-auth=need
#server.ssl.trust-store-type=JKS
#server.ssl.trust-store-provider=SUN
  1. 使用.p12文件-application.yml文件增加配置
server:
  ssl:
    enabled: true
    key-store: classpath:server.p12
#    key-password: 654321
    key-store-password: 654321
    key-store-type: PKCS12
    key-alias: 123
W_StackOverFlow_W
关注
测试环境:使用OpenSSL生成证书并配置Https
liao3399084的博客
07-06 1783
回车后,提示需要部分信息,该部分信息照着抄就行,没有二次校验的过程,自己随便填,但是填写域名的位置尽量真实点;安装完成后,可以设置环境变量,也可以不设置环境变量,设置环境变量的好处是:在任意位置通过cmd命令行窗口都可以执行openssl命令,而没有设置环境变量则需要进入OpenSSL安装目录进行命令行的操作。刚才生成证书文件和key的位置,要写相对路径,建议将这两个文件放到nginx配置文件的同级目录,写绝对路径可能会报错。正常情况会生成两个文件,一个server.key 一个server.csr。
java生成jks证书_使用openssl生成证书转换成java用jks证书
weixin_39778003的博客
02-13 1192
1.生成CA证书和私钥如果你准备使用公共CA则不需要这一步,但是如果这个证书只是在我们自己的服务端和客户端之间使用则只需要使用自己的CA使用openssl之前先要在当前目录下准备一个临时目录结构,如下结构--demoA/|-- index.txt |-- serial |-- newcerts/ |-- private/ 创建CA私钥openssl ...
Centos安装OpenSearch
最新发布
weixin_44534057的博客
08-08 815
Centos安装OpenSearch
使用openssl生成包含证书链的java用jks证书
xad707348125的专栏
07-23 1万+
1.生成CA证书和私钥 如果你准备使用公共CA则不需要这一步,但是如果这个证书只是在我们自己的服务端和客户端之间使用则只需要使用自己的CA 使用openssl之前先要在当前目录下准备一个临时目录结构,如下结构 --demoA/ |-- index.txt |-- serial |-- newcerts/ |-- private
使用 openssl 生成证书
H265技术专栏
05-22 396
转自:https://www.cnblogs.com/littleatp/p/5878763.html使用 openssl 生成证书一、openssl 简介openssl 是目前最流行的 SSL 密码库工具,其提供了一个通用、健壮、功能完备的工具套件,用以支持SSL/TLS 协议的实现。官网:https://www.openssl.org/source/构成部分密码算法库密钥和证书封装管理功能SS...
openssl 生成证书步骤
hinewcc的博客
05-08 4567
本地使用 openssl 生成证书
使用openssl生成证书、cer文件、key公私钥、pfx证书、pem公私钥
qq_21758475的博客
01-06 9849
文章转自:https://blog.csdn.net/solyutian/article/details/84033765 概述 在对接第三方的时候经常会用到秘钥加密传输数据,需要生成cer文件、key公私钥、pem公私钥去测试接口,这里用openssl生成公钥私钥,非常好用。 附上window下openssl的安装教程: https://blog.csdn.net/sunhuansheng/article/details/82218678 生成秘钥 打开控制台: openssl安装完成后ctrl+r打开
使用openssl生成证书、cer文件、key公私钥、pem公私钥
热门推荐
Solyutian的博客
11-13 3万+
penssl.key为之前生成的key的名字,openssl.cer为生成证书名字,3650为证书过期天数,CN的参数baidu.com是的你主机名或者IP地址。openssl.key 是生成key的名称可随意。注意:生成pfx证书会提示设置密码,此密码要记住,提取密钥时要输入此密码。八、复制窗口中生成的密钥,保存为openssl_pri_pkcs8.key。七、因为RSA算法使用的是pkcs8模式补足,需要对提取的私钥进一步处理。生成cer文件、key公私钥、pem公私钥。
openssl生成证书
12-27
下面我们将详细介绍如何使用OpenSSL生成证书,以及相关证书转换操作。 一、OpenSSL编译与安装 在Windows环境下编译OpenSSL通常需要以下步骤: 1. 从官方网站下载OpenSSL源代码,例如openssl-1.0.1g版本。 2. ...
golang生成公钥私钥证书 及 自签名证书 通过云账号dns验证直接生成freessl证书 openssl常用方法介绍
10-25
1.go生成rsa证书 自签名证书 2.go生成ecc证书 自签名证书 3.go生成公钥私钥 4.对自已生成的公钥私钥进行签名,得到签名证书crt 5.通过设置云dns账号直接生成freessl证书 6.openssl一些惯用方法介绍 7.如生成pfx格式的...
OpenSSL1.1.1g安装包及生成证书批处理
08-06
在这个场景中,我们讨论的是OpenSSL的1.1.1g版本的安装过程,以及如何在Windows环境下使用批处理脚本来生成不同类型的证书文件。 首先,`Win64OpenSSL-1_1_1g.exe` 是OpenSSL的64位Windows安装程序。安装这个软件将...
利用OpenSSL生成证书详解
06-06
利用OpenSSL生成证书详解,利用OpenSSL生成证书详解
cer证书生成工具
01-08
证书生成工具,封了openssl生成的方式,能快速生成公私钥对
利用openssl生成CA证书的方法及证书
12-26
利用openssl生成CA证书的方法及证书,根据文档可以自己生成证书
openssl 生成client.jks与server.jks文件的方法
07-05
openssl 生成client.jks与server.jks文件的方法 在做WS安全性设计的时候 利用rampat时候需要使用jks文件
OpenSSL创建生成CA证书、服务器、客户端证书及密钥
05-19
本文将详细介绍如何使用OpenSSL来创建生成CA(Certificate Authority)证书、服务器证书和客户端证书以及它们对应的密钥。 首先,我们需要理解证书的基本概念。在SSL/TLS协议中,证书用于验证通信双方的身份,通常...
OpenSSL创建SSL证书
悦分享
06-03 4732
OpenSSL是一套开源的密码学工具包,为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其他目的使用。在SSL协议中,我们使用了很多密码学手段来保护数据,其中包括对称密码,公钥密码,数字签名,证书,完整性校验,伪随机数生成等。由于这些算法和操作都非常复杂,于是开源社区就开发了一套库,这个库里面提供了很多现成的标准方法,其他开发者只要正确的调用这些方法,就可以实现SSL协议中的各种加密/解密操作了。
创建openssl pfx证书文件
xiaowei的专栏
05-23 1万+
1、生成key 输入genrsa -out openssl.key 1024生成openssl.key文件。 openssl.key为key的名字随意起,1024为密钥长度 2、生成cer证书 接着输入req -new -x509 -key openssl.key -out openssl.cer -days 3650 -subj /CN=***.websi
使用 openssl自动生成 证书脚本
点滴
02-18 1852
方便以后使用整理个脚本 #!/usr/bin/expect set pwd 888888 set hostname 0.0.0.0 set days 365 set mail 80301983@qq.com spawn openssl genrsa -des3 -out "$hostname-pass.key" 2048 expect "Enter pass phrase for $host...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值