openssl 生成多级X.509 v3 ECC公钥证书链完整示例

已于 2022-03-03 01:10:58 修改
阅读量1.4k 收藏 3
点赞数
文章标签: pki openssl
于 2022-02-28 00:54:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Reflection_in_water/article/details/123172433
版权

工具版本

本示例使用的openssl版本:LibreSSL 2.8.3

操作步骤

1. 生成ECC根密钥对,自签名生成根证书。命令中的openssl.cnf 用于证书版本及证书扩展,文件具体内容请参考文末的链接3。

# 生成根CA公钥
openssl ecparam -out EccRootCA.key -name prime256v1 -genkey

# 生成证书CSR请求
openssl req \
-subj "/C=CN/ST=Shenzhen/L=Guangdong/O=Test Ltd/OU=Software Department/CN=root.test.com/emailAddress=root@test.com" \   
-new \
-key EccRootCA.key \
-out EccRootCA.csr

# 用根私钥签名CSR请求,生成自签名公钥证书
openssl x509 \
-req \
-days 365 \
-in EccRootCA.csr \
-signkey EccRootCA.key \
-sha256 \
-extfile openssl.cnf -extensions v3_ca \
-out EccRootCA.crt

2. 生成ECC 次级CA密钥对,用根CA签发次级CA证书。注意CSR请求中的CN(Common Name)不能与给它签发证书的CA的一样。

# 生成次级CA ECC密钥对
openssl ecparam -out Ecc2ndCA.key -name prime256v1 -genkey

# 生成证书CSR请求
openssl req \
-subj "/C=CN/ST=Shenzhen/L=Guangdong/O=Test Ltd/OU=Software Department/CN=2nd.test.com/emailAddress=2nd@test.com" \
-new \
-key Ecc2ndCA.key \
-out Ecc2ndCA.csr

# 用上述根证书签发次级CA证书
openssl x509 \
-req \
-days 365 \
-in Ecc2ndCA.csr \
-CA EccRootCA.crt \
-CAkey EccRootCA.key \
-sha256 \
-CAcreateserial \
-extfile openssl.cnf -extensions v3_ca \
-out Ecc2ndCA.crt

3. 如法炮制,用次级CA证书签发其他的证书,就得到了一个三级的ECC公钥证书链。

# 生成示例ECC密钥对
openssl ecparam -out EccTest.key -name prime256v1 -genkey

# 生成CSR
openssl req \
-subj "/C=CN/ST=Shenzhen/L=Guangdong/O=Test Ltd/OU=Software Department/CN=instance.test.com/emailAddress=instance@test.com" \
-new \
-key EccTest.key \
-config openssl.cnf -extensions v3_req \
-out EccTest.csr

# 用次级CA为示例公钥签发证书,注意这里的扩展使用的是v3_req而不是v3_ca
openssl x509 \
-req \
-days 365 \
-in EccTest.csr \
-CA Ecc2ndCA.crt \
-CAkey Ecc2ndCA.key \
-sha256 \
-set_serial 03 \
-extfile openssl.cnf -extensions v3_req \
-out EccTest.crt

查看生成的密钥

如果想要查看生成的明文密钥数据,可使用如下的命令查看:

openssl pkey -in Ecc2ndCA.key -pubout -text -noout

输出的密钥数据形如:

Private-Key: (256 bit)
priv:
    57:aa:02:71:7c:22:62:46:df:0c:5d:ca:0c:1b:04:
    04:25:00:e6:2e:a9:02:bb:b5:b8:5e:d7:6c:03:0d:
    51:8f
pub: 
    04:86:6a:1d:a0:a9:24:35:ff:12:60:b7:ab:2c:0a:
    dc:69:cd:cd:d4:90:d1:a4:28:fb:c6:64:88:00:c2:
    b3:f3:dc:b7:45:0a:b9:fa:98:79:8e:d0:ae:4c:38:
    85:62:2b:de:33:e1:11:2c:02:9b:e6:35:f8:d4:d3:
    a3:27:8e:28:25
ASN1 OID: prime256v1
NIST CURVE: P-256

如果想要查看所选择的ECC曲线的参数,则可使用如下的命令:

openssl ecparam -name prime256v1 -text -param_enc explicit -noout

输出的曲线参数形如:

Field Type: prime-field
Prime:
    00:ff:ff:ff:ff:00:00:00:01:00:00:00:00:00:00:
    00:00:00:00:00:00:ff:ff:ff:ff:ff:ff:ff:ff:ff:
    ff:ff:ff
A:   
    00:ff:ff:ff:ff:00:00:00:01:00:00:00:00:00:00:
    00:00:00:00:00:00:ff:ff:ff:ff:ff:ff:ff:ff:ff:
    ff:ff:fc
B:   
    5a:c6:35:d8:aa:3a:93:e7:b3:eb:bd:55:76:98:86:
    bc:65:1d:06:b0:cc:53:b0:f6:3b:ce:3c:3e:27:d2:
    60:4b
Generator (uncompressed):
    04:6b:17:d1:f2:e1:2c:42:47:f8:bc:e6:e5:63:a4:
    40:f2:77:03:7d:81:2d:eb:33:a0:f4:a1:39:45:d8:
    98:c2:96:4f:e3:42:e2:fe:1a:7f:9b:8e:e7:eb:4a:
    7c:0f:9e:16:2b:ce:33:57:6b:31:5e:ce:cb:b6:40:
    68:37:bf:51:f5
Order: 
    00:ff:ff:ff:ff:00:00:00:00:ff:ff:ff:ff:ff:ff:
    ff:ff:bc:e6:fa:ad:a7:17:9e:84:f3:b9:ca:c2:fc:
    63:25:51
Cofactor:  1 (0x1)
Seed:
    c4:9d:36:08:86:e7:04:93:6a:66:78:e1:13:9d:26:
    b7:81:9f:7e:90

参考

  1.  如何创建自签名的 SSL 证书 - 简书
  2. Openssl 生成ECC 证书及密钥_zntsbkhhh的博客-CSDN博客_openssl生成ecc密钥
  3. OpenSSL生成v3证书方法及配置文件_落木千山的技术博客_51CTO博客

  4. OpenSSL "pkey -pubout" - Extract EC Public Key

  5. Command-line Elliptic Curve operations -
Reflection-in-water
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
windows下生成https证书完整例子(文件里有openssl.cnf).docx
02-22
使用openssl 在windows下生成https证书完整例子(附件文件里有openssl.cnf) 1.下载openssl 2.运行一下命令,生成密钥key 3.创建证书的申请文件 4.创建一个CA证书 5.使用上面的证书申请文件和CA证书,来创建自己...
java 生成ecc证书_使用openssl命令制作ecc证书
weixin_33736514的博客
02-26 223
软件版本需求:NGNIX>1.10Openssl>1.02首先需要申请ECC和RSA两种签名SSL证书,免费证书申请详见:关于免费ssl证书的那些事儿配置证书路径:ssl_certificate example.com.rsa.crt; ssl_certificate_key example.com.rsa.key; ssl_certificate example.com.ecdsa....
使用openssl命令制作ecc证书
weixin_34294649的博客
04-04 192
2019独角兽企业重金招聘Python工程师标准>>> ...
使用OpenSSL创建自签名数字证书例子2
最新发布
weixin_42938827的博客
03-20 321
最近做一个项目,需要用到自签名数字证书。于是就研究了一下自签名数字证书实现,把相关的OpenSSL命令放在下面供大家查询。这篇文章中证书采用的是ECDSA算法,如果要使用其它算法,如RSA算法,只需要将-newkey后面的参数ec:
如何申请和安装双算法SSL证书
Racent_Y的博客
06-22 374
最近,有收到不少站长关于部署双算法SSL证书的问题,为了帮助站长给用户提供更安全的防护以及更完美的体验,小编将在本篇介绍如何申请和安装双算法SSL证书! 什么是双算法? 双算法是指当今使用的两种最受欢迎的公钥加密算法,一个是RSA算法,一个是ECC算法。《在日益连接的世界中,RSA有多安全》文章中,小编有讲过这两个加密算法的特点及区别,简单来说: RSA算法:国际标准算法,比ECC算法的适用范围更广,兼容性好,一般采用2048位的加密长度,但是对服务端性能消耗高。 ECC算法:中文名称为椭圆加密算法,新一
openssl SM2(ECC)自签服务端和客户端证书
xcw1234的博客
02-01 1769
SM2 ECC 自签证书
openssl制作ECC证书详解
qq_31539845的博客
12-05 1864
openssl制作ecc证书
使用openssl 生成RSA、SM2、ECC的P12证书的方法
weixin_39891030的博客
10-09 4769
使用openssl 生成RSA、SM2、ECC的P12证书的方法,使用keytool生成keystore证书
openssl生成证书
qq_42075456的博客
05-24 274
openssl生成证书使用openssl生成证书生成EC证书生成RSA证书获取公钥java解析证书为jwk 使用openssl生成证书 生成EC证书 ## 生成ec私钥 openssl ecparam -genkey -name prime256v1 -out eckey.pem ## 生成ec证书请求文件,指定私钥 openssl req -new -sha256 -key eckey.pem -subj /C=CN/ST=Shanghai/L=Yangpu/O=Tech./OU=IT/CN=www.xi
使用OpenSSL创建多级CA证书签发证书并导出为pkcs12/p12/pfx文件
Laurence的技术博客
03-21 7780
文章目录1. 生成根CA证书并自签2. 生成二级CA证书并使用CA证书签发3. 生成服务器证书并使用二级CA证书签发4. 制作CA证书5. 打包为p12文件6. 注意事项7. 使用`openssl x509`和`openssl ca`签发CA证书的差别 操作步骤: 生成根CA证书并自签 生成二级CA证书并使用CA证书签发 生成服务器证书并使用二级CA证书签发 制作CA证书 打包为p12文件 1. 生成根CA证书并自签 # 创建root-ca并自签名 openssl req -x509 -newkey
使用openssl 生成免费证书的方法步骤
01-10
一:什么是openssl? 它的作用是?应用场景是什么? 即百度百科说:openssl是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,它可以避免信息被窃听到。 SSL是Secure Sockets Layer(安全套接层...
OpenSSL生成的ssl证书
01-11
通过OpenSSL生成的ssl证书,用于windows下用nginx配置https服务器( OpenSSL创建证书) 无需再下载OpenSSL,配置OpenSSL相关环境,在进行命令生成证书
openssl_gmssl命令生成证书.txt
01-21
包含OpenSSL和GMSSL生成证书命令,RSA证书和SM2证书生成方式
openssl-1.1.1a.tar.gz
12-15
来源:下载自官网 www.openssl.org 说明:于2018年12月下载,是当时的最新版、最高版 使用方法(亲测留档):以下为Ubuntu16.04.5上亲测,卸载并安装新版openssl # sudo tar -xzf openssl-1.1.1a.tar.gz //解压 # ...
Openssl v3证书 配置文件
shareinfo2018
09-17 1503
openssl
php openssl pkey new,openssl_pkey_new 返回值为false
weixin_31947395的博客
03-11 366
业务代码function exportOpenSSLFile(){$config = array("digest_alg" => "sha512","private_key_bits" => 4096, //字节数 512 1024 2048 4096 等"private_key_type" => OPENSSL_K...
搞懂Ecc算法,2种方法生成Ecc公钥、私钥
进击的Coder*的博客
02-26 4141
ECC算法、ECC优点、ECC应用进行了介绍,并通过代码示例展示了如何生成ECC公钥、私钥
openssl 生成X509 V3的根证书及签名证书
热门推荐
冰冻三尺非一日之寒
05-16 1万+
openssl 生成X509 V3的根证书及签名证书在测试的时候有时需要使用证书。因此使用OpenSSL创建自签名根证书,使用根证书签发证书显得很重要。1、生成证书及自签名证书1.创建根证私钥    openssl genrsa -out root-key.key 10242.创建根证书请求文件    openssl req -new -out root-req.csr -key root-ke...
使用openssl签发X.509证书的基本操作
06-08
使用 OpenSSL 签发 X.509 证书的基本操作如下: 1. 生成私钥 使用 OpenSSL 命令生成私钥: ``` openssl genpkey -algorithm RSA -out key.pem ``` 这将生成一个 RSA 算法的私钥文件 key.pem。 2. 生成证书请求 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值