OpenSSL命令系列

最新推荐文章于 2024-06-22 17:29:34 发布
最新推荐文章于 2024-06-22 17:29:34 发布
阅读量939 收藏 2
点赞数
分类专栏: IIS | Apache 服务器 加密解密 文章标签: ssl openssl command

1.1 ssl命令系列前言

openssl命令的格式是”openssl command command-options args”,command部分有很多种命令,这些命令需要依赖于openssl命令才能执行,所以称为伪命令(pseudo-command),每个伪命令都有各自的功能,大部分command都可以直接man command查看命令的用法和功能。

1.2 openssl总指挥

以下是openssl支持的伪命令,常用命令或可能用的上的命令加粗加红显示了,这些命令的用户在后面的文章中会一一介绍。

[root@xuexi ~]# openssl --help
openssl:Error: '--help' is an invalid command.

# 支持的标准命令,即伪命令
Standard commands
asn1parse         ca                ciphers           cms              
crl               crl2pkcs7         dgst              dh               
dhparam           dsa               dsaparam          ec               
ecparam           enc               engine            errstr           
gendh             gendsa            genpkey           genrsa           
nseq              ocsp              passwd            pkcs12            
pkcs7             pkcs8             pkey              pkeyparam        
pkeyutl           prime             rand              req              
rsa               rsautl            s_client          s_server         
s_time            sess_id           smime             speed             
spkac             ts                verify            version          
x509             

# 指定"dgst"命令时即单向加密支持的算法,实际上支持更多的算法,具体见dgst命令
Message Digest commands (see the `dgst' command for more details)
md2               md4               md5               rmd160           
sha               sha1             


# 指定对称加密"enc"时支持的对称加密算法
Cipher commands (see the `enc' command for more details)
aes-128-cbc       aes-128-ecb       aes-192-cbc       aes-192-ecb      
aes-256-cbc       aes-256-ecb       base64            bf               
bf-cbc            bf-cfb            bf-ecb            bf-ofb           
camellia-128-cbc  camellia-128-ecb  camellia-192-cbc  camellia-192-ecb 
camellia-256-cbc  camellia-256-ecb  cast              cast-cbc         
cast5-cbc         cast5-cfb         cast5-ecb         cast5-ofb        
des               des-cbc           des-cfb           des-ecb          
des-ede           des-ede-cbc       des-ede-cfb       des-ede-ofb      
des-ede3          des-ede3-cbc      des-ede3-cfb      des-ede3-ofb     
des-ofb           des3              desx              idea             
idea-cbc          idea-cfb          idea-ecb          idea-ofb         
rc2               rc2-40-cbc        rc2-64-cbc        rc2-cbc          
rc2-cfb           rc2-ecb           rc2-ofb           rc4              
rc4-40            seed              seed-cbc          seed-cfb         
seed-ecb          seed-ofb          zlib

看上去非常复杂?其实不复杂,只是伪命令多点而已,而且很多伪命令经常用到的选项也就1到两个。

以下是各伪命令的选项”-passin”和”-passout”可能使用到的密码传递格式,“-passin”指的是传递解密时的密码,”-passout”指的是传递加密输出文件时的密码。如果不给定密码格式,将提示从终端输入。这一点在后面的文章中将不再细述。

例如,要加密某个密钥文件,使得每次使用该密钥文件都需要输入密码,则使用”-passout”指定加密密码,当使用被加密的密钥文件时需要解密,使用”-passin”传递解密密码。

    格式一:pass:password   :password表示传递的明文密码

    格式二:env:var               :从环境变量var获取密码值

    格式三:file:filename        :filename文件中的第一行为要传递的密码。若filename同时传递给"-passin""-passout"选项,则filename的第一行为"-passin"的值,第二行为"-passout"的值

    格式四:stdin                   :从标准输入中获取要传递的密码

常用Openssl命令

申请证书

SSL常用于身份验证、数据加密等应用中,要使用SSL,我们密码有自己的证书。数字证书一般要向专业的认证公司(如VeriSign)申请,并且都是收费的,某些情况下,我们只是想使用加密的数据通信,而不在乎认证,这时就可以自己制作一个证书,自己制作一个证书,有两种方式,一种是Self Signed,另一种是自己制作一个CA,然后由这个CA,来发布我们需要的证书。下面分别介绍这两个方法。

生成Self Signed证书

# 生成一个key,你的私钥,openssl会提示你输入一个密码,可以输入,也可以不输,
# 输入的话,以后每次使用这个key的时候都要输入密码,安全起见,还是应该有一个密码保护
> openssl genrsa -des3 -out selfsign.key 4096

# 使用上面生成的key,生成一个certificate signing request (CSR)
# 如果你的key有密码保护,openssl首先会询问你的密码,然后询问你一系列问题,
# 其中Common Name(CN)是最重要的,它代表你的证书要代表的目标,如果你为网站申请的证书,就要添你的域名。
> openssl req -new -key selfsign.key -out selfsign.csr

# 生成Self Signed证书 selfsign.crt就是我们生成的证书了
> openssl x509 -req -days 365 -in selfsign.csr -signkey selfsign.key -out selfsign.crt

# 另外一个比较简单的方法就是用下面的命令,一次生成key和证书
> openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout privateKey.key -out certificate.crt

生成自己的CA (Certificate Authority)

CA是证书的发布者,CA可以发布其他人的证书,把CA的证书加入系统信任的根证书后,由CA发布的证书也被系统所信任,所以,CA的key是必须小心保护的,一般都要加密保护,并且限制为root权限读写。
复制代码

# 生成CA的key
> openssl genrsa -des3 -out ca.key 4096

# 生成CA的证书
> openssl req -new -x509 -days 365 -key ca.key -out ca.crt

# 生成我们的key和CSR这两步与上面Self Signed中是一样的
> openssl genrsa -des3 -out myserver.key 4096
> openssl req -new -key myserver.key -out myserver.csr

# 使用ca的证书和key,生成我们的证书
# 这里的set_serial指明了证书的序号,如果证书过期了(365天后),
# 或者证书key泄漏了,需要重新发证的时候,就要加1
> openssl x509 -req -days 365 -in myserver.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out myserver.crt

查看证书

# 查看KEY信息
> openssl rsa -noout -text -in myserver.key

# 查看CSR信息
> openssl req -noout -text -in myserver.csr

# 查看证书信息
> openssl x509 -noout -text -in ca.crt

# 验证证书
# 会提示self signed
> openssl verify selfsign.crt

# 因为myserver.crt 是幅ca.crt发布的,所以会验证成功
> openssl verify -CAfile ca.crt myserver.crt

去掉key的密码保护

有时候每次都要输入密码太繁琐了,可以把Key的保护密码去掉

> openssl rsa -in myserver.key -out server.key.insecure

不同格式证书的转换

一般证书有三种格式:

PEM(.pem) 前面命令生成的都是这种格式,
DER(.cer .der) Windows 上常见
PKCS#12文件(.pfx .p12) Mac上常见

# PEM转换为DER
> openssl x509 -outform der -in myserver.crt -out myserver.der

# DER转换为PEM
> openssl x509 -inform der -in myserver.cer -out myserver.pem

# PEM转换为PKCS
> openssl pkcs12 -export -out myserver.pfx -inkey myserver.key -in myserver.crt -certfile ca.crt

# PKCS转换为PEM
> openssl pkcs12 -in myserver.pfx -out myserver2.pem -nodes

测试证书

Openssl提供了简单的client和server工具,可以用来模拟SSL连接,做测试使用。

# 连接到远程服务器
> openssl s_client -connect www.google.com.hk:443

# 模拟的HTTPS服务,可以返回Openssl相关信息 
# -accept 用来指定监听的端口号 
# -cert -key 用来指定提供服务的key和证书
> openssl s_server -accept 443 -cert myserver.crt -key myserver.key -www

# 可以将key和证书写到同一个文件中
> cat myserver.crt myserver.key > myserver.pem
# 使用的时候只提供一个参数就可以了
> openssl s_server -accept 443 -cert myserver.pem -www

# 可以将服务器的证书保存下来
> openssl s_client -connect www.google.com.hk:443 </dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > remoteserver.pem
# 转换成DER文件,就可以在Windows下直接查看了
> openssl x509 -outform der -in remoteserver.pem -out remoteserver.cer

计算MD5和SHA1

# MD5 digest
> openssl dgst -md5 filename

# SHA1 digest
> openssl dgst -sha1 filename
.NET跨平台
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Open ssl用法详解
shutdowndo的博客
03-20 5998
Open ssl用法详解openssl用法详解1、对称加密2、单向加密3、生成密码4、生成随机数5、生成秘钥对ras 的用法如下6、创建CA和申请证书(1)、创建自签证书 openssl用法详解 OpenSSL 是一个开源项目,其组成主要包括一下三个组件: openssl:多用途的命令行工具 libcrypto:加密算法库 libssl:加密模块应用库,实现了ssl及tls openssl可以...
openssl命令
02-09
证书制作流程,里面介绍了证书的步骤,只是参考,具体方式还是要根据实际情况
OpenSSL 基础命令
qq440983的博客
07-28 7905
OpenSSL功能之强大,命令组合用法之多,往往让我们的学习不知所措。在此,我们来对openssl命令的使用做一个总结。
openssl常用命令
最新发布
weixin_46383092的博客
06-22 279
CAcreateserial:这个选项用于指示 OpenSSL 在指定的序列号文件不存在时创建一个新的序列号文件,并将其命名为指定的 CA 证书文件的名称加上 .srl 后缀。例如,如果 CA 证书文件是 ca.crt,那么序列号文件将被命名为 ca.srl。OpenSSL 是一个功能强大的工具,支持广泛的加密操作。
openssl Commands
A Flying Bird
08-27 803
Openssl Commands
openssl之enc命令教程
10-20
9. **支持的加密算法**:除了常用的3DES算法之外,OpenSSL还支持许多其他的加密算法,例如AES系列算法、Blowfish等。需要注意的是,某些加密算法可能在编译时被禁用,或者只在特定条件下可用。 #### 五、示例演示 ...
openssl命令操作证书链实例
09-06
本文将深入探讨如何在Linux环境下使用OpenSSL命令来操作证书链,并通过具体的实例进行演示。 首先,我们要理解什么是证书链。在PKI系统中,证书链是一种验证数字证书的方式,它由一系列相连的证书构成,每个证书都...
Win64OpenSSL
12-04
OpenSSL的常用命令包括: - `openssl s_client`:用于测试HTTPS服务器,检查SSL/TLS连接的安全性。 - `openssl s_server`:创建一个本地服务器模拟SSL/TLS连接。 - `openssl req`:生成证书请求,是创建自签名证书的...
OpenSSL命令详解
weixin_33853827的博客
06-17 702
OpenSSL从基础到应用系列: 1)OpenSSL之安全通讯基础 2)OpenSSL之PKI 3)OpenSSLSSL协议的Web安全实现 4)OpenSSL之编译安装 透过上面几个方面的学习,我们应该对OpenSSL有了一个基本的了解。OpenSSL功能之强大,命令组合用法之多,往往让我们的学习不知...
Linux命令openssl命令
热门推荐
月生的静心苑
10-25 1万+
openssl是一个功能极其强大的命令行工具,可以用来完成公钥体系(Public Key Infrastructure)及HTTPS相关的很多任务。openssl是一个强大的安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。   openssl有两种运行模式:交互模式和批处理模式。...
openssl常见命令
wwwlyj123321的博客
05-20 509
一、格式转换 -informinput format -inform输入格式 -outformoutput format -outform输出格式 -ininput -in输入 -outthe output which is converted format. -out输出转换后的格式的输出。 秘钥格式转换: $ openssl rsa -inform PEM -outform DER -text -in mykey.pem -out ...
openssl常用命令大全
Mzxy_1的博客
04-19 2370
openssl常用命令大全
OpenSSL命令行快速入门
zhihao_li的博客
06-06 2395
OpenSSL是为网络通信提供安全及数据完整性的开放源代码软件库包,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议。本笔记介绍了OpenSSL命令行的摘要算法、密钥生成与管理、对称加密算法、非对称加密算法、密钥协商算法、签名验签算法等命令的使用方法。以SHA、RSA、AES、ECC、ECDSA、ECDH等为例进行介绍。
openssl命令行整理
谢绝留言与私信
01-17 613
将资料上的openssl命令行整理一下。
OpenSSL Command-Line HOWTO
子曰小玖的博客
04-01 1340
https://www.madboa.com/geek/openssl/#introduction 内容 介绍 如何找到我正在运行的OpenSSL版本? 如何获取可用命令的列表? 如何获取可用密码列表? 标杆 如何对系统的性能进行基准测试? 如何对远程连接进行基准测试? 证书 如何生成自签名证书? 如何为VeriSign生成证书申请? 如何测试新证书? ...
深入解析openssl命令与应用
"这篇资源是一份关于openssl命令详解的系列文章,作者在BBS水木清华站上分享了自己对openssl工具的理解和使用经验,包括openssl的证书、加密算法、协议、入门指南以及一些具体指令如verify、asn1parse、ca、cipher和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值