OpenSSL命令---pkcs8

最新推荐文章于 2025-04-20 16:33:29 发布
原创 最新推荐文章于 2025-04-20 16:33:29 发布
· 3.1w 阅读 · 12 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pkcs8 转换 #OpenSSL

用途:

pkcs8格式的私钥转换工具。它处理在PKCS#8格式中的私钥文件。它可以用多样的PKCS#5 (v1.5 and v2.0) PKCS#12算法来处理没有解密的PKCS#8 PrivateKeyInfo格式和EncryptedPrivateKeyInfo格式。

用法:

openssl pkcs8 [-inform PEM|DER] [-outform PEM|DER] [-in filename] [-passin arg] [-out filename] 
[-passout arg] [-topk8] [-noiter] [-nocrypt] [-nooct] [-embed] [-nsdb] [-v2 alg] [-v1 alg] [-engine id]

选项说明:

-inform PEM|DER::输入文件格式,DER或者PEM格式。DER格式采用ASN1DER标准格式。一般用的多的都是PEM格式,就是base64编码格式。

-outform DER|PEM:输出文件格式,DER或者PEM格式。

-in filename:输入的密钥文件,默认为标准输入。如果密钥被加密,会提示输入一个密钥口令。

-passin arg:输入文件口令保护来源。

-out filename:输出文件,默认为标准输出。如果任何加密操作已经执行,会提示输入一个密钥值。输出的文件名字不能和输入的文件名一样。

-passout arg:输出文件口令保护来源。

-topk8:通常的是输入一个pkcs8文件和传统的格式私钥文件将会被写出。设置了此选项后,位置转换过来:输入一个传统格式的私钥文件,输出一个PKCS#8格式的文件。

-noiterMAC保护计算次数为1

-nocryptPKCS#8密钥产生或输入一般用一个适当地密钥来加密PKCS#8 EncryptedPrivateKeyInfo结构。设置了此选项后,一个不加密的PrivateKeyInfo结构将会被输出。这个选项一直不加密私钥文件,在绝对必要的时候才能够使用。某些软件例如一些JAVA代码签名软件使用不加密的私钥文件。

-nooct这个选项产生的RSA私钥文件是一个坏的格式,一些软件将会使用。特别的是,私钥文件必须附上一个八位组字符串,但是一些软件仅仅包含本身的结构体没有使八位组字符串所环绕。不采用八位组表示私钥。

-embed:这个选项产生的RSA私钥文件是一个坏的格式。在私钥结构体中采用嵌入式DSA参数格式。在这个表单中,八位组字符串包含了ASN1 SEQUENCE中的两种结构:一个SEQUENCE包含了密钥参数,一个ASN1 INTEGER包含私钥值。

-nsdb:这个选项产生的RSA私钥文件是一个坏的格式并兼容了Netscape私钥文件数据库。采用NetscapeDBDSA格式。

-v2 alg:采用PKCS#5 v2.0,并指定加密算法,默认的是PKCS#8私钥文件被叫做B<pbeWithMD5AndDES-CBC>(该算法用56字节的DES加密但是在PKCS#5 v1.5中有更加强壮的加密算法)的加密算法用口令进行加密。用B<-v2>选项,PKCS#5 v2.0相关的算法将会被使用,可以是des3168字节)和rc2128字节),推荐des3

-v1 alg:采用PKCS#5 v1.5pkcs12,并指定加密算法。可采用的算法见下面。

 -engine id:指定硬件引擎。

注意:

加密了的PEM编码PKCS#8文件表单用下面的头部和尾部:

-----BEGIN ENCRYPTED PRIVATE KEY-----

 -----END ENCRYPTED PRIVATE KEY-----

未加密的表单用:

-----BEGIN PRIVATE KEY-----

 -----END PRIVATE KEY-----

跟传统的SSLeay算法相比,用PKCS#5 v2.0系列的算法加密私钥,有更高的安全性以及迭代次数。于是附加的安全性是经过深思熟虑的。

默认的加密算法仅仅是56字节的,是因为它是PKCS#8所支持的最好的方法。

有一些软件使用PKCS#12基于密钥的加密算法来加密PKCS#8格式的私钥:它们会自动的处理但是没有选项来操作。

PKCS#8格式中,有可能的是输出DER编码格式的经过加密的私钥文件,是因为加密的详细说明包含在DER等级中,相反的是传统的格式包含在PEM邓丽中。

PKCS#5 v1.5 PKCS#12 算法:

各种各样的算法可以被选项-v1所使用。包含PKCS#5 v1.5 PKCS#12 算法。详细描述如下:

B<PBE-MD2-DES PBE-MD5-DES>:这两个算法包含在PKCS#5 v1.5中。它们仅仅提供56字节的保护,加密算法用DES

B<PBE-SHA1-RC2-64 PBE-MD2-RC2-64 PBE-MD5-RC2-64 PBE-SHA1-DES>:它们在传统的PKCS#5 v1.5中没有被提到,但是它们用同样地密钥引出算法,被一些软件所支持。在PKCS#5 v2.0中所提到。它们使用64字节的RC2以及56字节的DES

B<PBE-SHA1-RC4-128 PBE-SHA1-RC4-40 PBE-SHA1-3DES PBE-SHA1-2DES PBE-SHA1-RC2-128 PBE-SHA1-RC2-40>:它们是PKCS#12基于密钥的加密算法,它们允许使用高强度的加密算法,例如3des128位的RC2

实例:

3des算法将传统的私钥文件转换为PKCS#5 v2.0

openssl pkcs8 -in key.pem -topk8 -v2 des3 -out enckey.pem


PKCS#5 1.5兼容的DES算法将私钥文件转换为pkcs8文件:

openssl pkcs8 -in ocspserverkey.pem -topk8 -out ocspkcs8key.pem


PKCS#12兼容的3DES算法将私钥文件转换为pkcs8文件:

openssl pkcs8 -in key.pem -topk8 -out enckey.pem -v1 PBE-SHA1-3DES


读取一个DER格式加密了的PKCS#8格式的私钥:

openssl pkcs8 -inform DER -nocrypt -in key.der -out key.pem


转换一个PKCS#8格式的私钥到传统的私钥:

openssl pkcs8 -in pk8.pem -out key.pem


pkcs8中的私钥以明文存放:

openssl pkcs8 -in ocspserverkey.pem -topk8  -nocrypt -out ocspkcs8key.pem


标准:

PKCS#5 v2.0的测试向量的实现是以通告的形式用高强度的迭代次数算法3DESDESRC2来加密的。很多人要确认能够解密产生的私钥。

PKCS#8格式的DSA私钥文件没有备注文件中的:在PKCS#11 v2.01中的11.9节被隐藏了的。OpenSSL的默认DSA PKCS#8私钥格式隐藏在这个标准中。

BUGs

必须有一个选项打印使用的加密算法的其他详细细节,例如迭代次数。

PKCS#83DESPKCS#5 v2.0必须是默认的私钥文件:目前为了命令的兼容性。

OpenSSL之十四:PKCS#8 和 Netscape
wzfgd的博客
03-10 879
OpenSSL 有繁多复杂的文件编码格式、证书格式和密钥格式,要弄清楚 OpenSSL,了解众多的编码格式至关重要。
php openssl 处理pkcs8,【转载】OpenSSL命令---pkcs8
weixin_39807352的博客
04-01 1136
用途:pkcs8格式的私钥转换工具。它处理在PKCS#8格式中的私钥文件。它可以用多样的PKCS#5 (v1.5 and v2.0)和PKCS#12算法来处理没有解密的PKCS#8 PrivateKeyInfo格式和EncryptedPrivateKeyInfo格式。用法:openssl pkcs8 [-inform PEM|DER] [-outform PEM|DER] [-in filenam...
[转]OpenSSL 使用指南
热门推荐
wuhran的Blog-C++,Linux,MySQL,PHP
09-13 1万+
  OpenSSL 使用指南     目录 •  介绍 •  编译 •  运行 OpenSSL.exe •  算法编程 API 4.1 对称算法 4.1.1 DES 4.1.2 A ES 4.1.3 RC4 4.1.4 EVP_ 4.2 公钥算法 4.3 Hash 算法 4.4 随机数算法 •  SSL 协议编程 API • 
openssl_pkcs8:的OpenSSL
05-11
OpenSSL-PKCS8 这会将PKCS8兼容密钥导出添加到OpenSSL :: PKey :: RSA库中,该库是标准Ruby发行版的一部分。 例子: key = OpenSSL :: PKey :: RSA . new ( 1024 ) key . to_pem_pkcs8 # => "-----BEGIN PRIVATE KEY----- ..." 这将以PKCS8格式导出私钥,并将以OpenSSL使用的PUBKEY格式导出公钥。 请注意,两个标头中都没有“ RSA”。 安装 使用Gem分布可能是最简单的: gem install openssl_pkcs8 版权 openssl_pkcs8.c的内容大部分来自Ruby发行版,并以原始版本完全相同的条款获得许可。 其余部分是(C)2012 Scott Tadman,根据MIT许可获得的The Working Gr
RSA pkcs1pkcs8转换工具
最新发布
gitblog_06729的博客
04-20 416
RSA pkcs1pkcs8转换工具 【下载地址】RSApkcs1pkcs8转换工具 这是一个专注于RSA密钥格式转换的实用工具,支持PKCS#1PKCS#8格式之间的双向转换。无论是从PKCS#1转为PKCS#8,还是反向操作,该工具都能轻松完成,满足不同场景下的密钥格式需求。其界面设计简洁友好,操作步骤清晰,即...
openssl pkcs8
艾小小雨的博客
04-16 2962
用途:pkcs8格式的私钥转换工具。它处理在PKCS#8格式中的私钥文件。它可以用多样的PKCS#5 (v1.5 and v2.0)和 PKCS#12算法来处理没有解密的PKCS#8 PrivateKeyInfo格式和EncryptedPrivateKeyInfo格式。语法:openssl pkcs8 [-inform PEM|DER] [-outform PEM|DER] [-in f...
OpenSSLPKCS#8
chinansa的博客
10-30 1334
这条命令中,`genpkey`是OpenSSL用于生成私钥的命令,`-algorithm RSA`指定了生成的是RSA私钥,`-out private_key.p8`表示将生成的私钥输出到名为`private_key.p8`的文件中,`-pkeyopt rsa_keygen_bits:2048`设置了RSA密钥的长度为2048位。例如,一个在Linux系统下使用OpenSSL生成的PKCS#8格式的私钥,可以在Windows系统下的某些支持PKCS#8的加密软件中进行导入和使用。1. PKCS#8简介。
OpenSSL生成PKCS#8私钥和公钥
a7442358的专栏
11-16 4631
OpenSSL 1.1.1q (应该是1.1.x版本都是,但是未测试其他)默认生成的PKCS#1私钥,如果需要PKCS#8私钥需要转换,默认生成的是PKCS#8公钥,如果需要PKCS#1公钥,需要转换
OpenSSL命令---req
weixin_30439131的博客
07-27 738
用途: 本指令用来创建和处理PKCS#10格式的证书。它还能够建立自签名证书,做Root CA。 用法: openssl req [-inform PEM|DER] [-outform PEM|DER] [-in filename] [-out filename] [-text] [-pubkey] [-noout] [-verify] [-modulus] [-nodes] [-su...
openssl-win32工具 win32OpenSSL
02-27
OpenSSL> pkcs8 -topk8 -inform PEM -in rsa_private_key.pem -outform PEM -nocrypt -out rsa_private_key_pkcs8.pem (备注:Java开发者需要将私钥转换PKCS8格式) OpenSSL> rsa -in rsa_private_key.pem -...
openssl-for-window64
06-17
这里提供的"openssl-for-window.exe"就是这样一个二进制文件,用户只需要将其解压到适当的位置,例如"C:\OpenSSL",然后添加该路径到系统环境变量PATH中,以便在命令行中全局调用OpenSSL命令。 安装完成后,我们...
openssl 生成ca证书 pkcs12 pem格式转换
12-03
OpenSSL 生成 CA 证书 PKCS#12 PEM 格式转换 OpenSSL 是目前最流行的 SSL 密码库工具,其提供了一个通用、健壮、功能完备的工具套件,用以支持 SSL/TLS 协议的实现。 OpenSSL 工具箱中包含了大量实用的命令和选项,...
openssl在mac下生成pkcs8证书
Programmer小卫
03-16 954
MacOS下openssl相关操作 openssl > genrsa -out key.pem 2048 生成2048字节 PEM格式的 RSA私钥 rsa -in key.pem -pubout -out app_public_key.pem 根据PEM格式RSA私钥生成公钥 pkcs8 -topk8 -inform PEM -in key.pem -outform PEM -out pkcs8.pem 转换成成pkcs8格式密钥 java使用 req -new -out ce..
openssl生成RSA格式及pkcs1pkcs8格式互相转换
小崔的博客
02-19 5036
openssl简介 OpenSSL 是一个开源项目,其组成主要包括一下三个组件: openssl:多用途的命令行工具 libcrypto:加密算法库 libssl:加密模块应用库,实现了ssl及tls openssl可以实现:密钥证书管理、对称加密和非对称加密等,想了解更多搜索查看官网。接下来主要围绕openssl生成RSA格式及pkcs1pkcs8格式互相转换。 配置RSA密钥 可以参考支...
OpenSSL产生ECC密钥对,及私钥格式(PKCS1<---PKCS8)转换
一切有为法,如梦亦如幻,如露亦如电,应作如是观。
08-04 2879
命令会生成一个ECC私钥文件,并基于所选的曲线生成相应的公钥。这样就在当前的工作目录中生成了一个ECC的私钥文件和相应的公钥文件。
openssl制作pkcs #8 key 格式的秘钥
qq_27130997的博客
08-25 569
制作正常格式的秘钥 openssl genrsa -out ca.pem 2048 转换格式 openssl pkcs8 -topk8 -inform PEM -in ca.pem -outform pem -nocrypt -out ca-pkcs8.pem
OpenSSL笔记-PKCS#1和PKCS#8的区别及分别调用的API
IT1995的博客
07-18 7481
这玩意折腾了一天,有个老外的代码,公钥用了PKCS#1,私钥用了PKCS#8。调用了不同的API,而我的全是生成的PKCS#8,后面查阅了大量资料和长时间调试程序,才发现了问题,在此记录下。有一点要提醒的,他们的返回值都是加密,解密后,数据的长度,因为是unsignedchar类型,还是二进制的,所以这个返回值比较重要。PKCS#8是对加密后的密钥进行了描述,也就是说P8格式的密钥不是裸奔的。用OpenSSL生成的pem文件,公私密钥有两种格式。PKCS#1是标准RSA密钥对规范,但都是裸奔的;...
RSA证书和私钥生成和签名工具.pk8格式的私钥 .x509.pem格式的证书 openssl命令行生成
chenhao0568的专栏
03-18 624
pk8格式的私钥.x509.pem格式的证书。
Openssl
weixin_30642029的博客
12-20 370
https://blog.csdn.net/junwua/article/details/80506399 证书证书是一个经证书授权中心签过名的包含公钥及公钥拥有者信息的文件。证书授权中心(CA)对证书签名的过程即为证书的颁发过程。证书里面的公钥只属于某一个实体(网站,个人等),它的作用是防止一个实体伪装成另外一个实体。证书可以保证非对称加密算法的合理性,假设A和B的通话过程如下:A --...
openssl 数字信封 命令 pkcs7
03-15
<think>好的,我现在需要帮助用户了解如何使用OpenSSLPKCS7数字信封命令进行加密和解密操作。首先,我应该回忆一下PKCS7的基本概念和它在OpenSSL中的应用。PKCS7主要用于数字信封,也就是结合对称加密和非对称加密的技术,通常用于安全地传输密钥和数据。数字信封的结构通常是使用接收方的公钥加密对称密钥,然后用这个对称密钥加密实际数据,最后将两者打包在一起。 接下来,我需要确定用户需要的是命令行操作,而不是编程接口的使用,因为用户明确提到了“命令使用教程”。所以,我应该集中精力在OpenSSL命令行工具上,特别是PKCS7相关的命令。 首先,加密操作需要生成一个对称密钥,然后用接收方的证书(公钥)加密这个对称密钥,接着用这个对称密钥加密数据,最后将加密后的密钥和数据打包成PKCS7格式。解密则是相反的过程,使用接收方的私钥解密对称密钥,再用该密钥解密数据。 我需要确保步骤清晰,并且给出具体的命令示例。例如,生成证书和私钥可能是一个前提,但用户可能已经有这些,不过为了示例的完整性,可能需要包括如何生成自签名证书,或者提醒用户使用已有的证书。 然后,处理加密过程。使用openssl smime命令,指定加密模式,输入文件,输出文件,以及接收方的证书。需要注意的是,SMIME命令通常用于邮件加密,但也可以用来处理PKCS7的数字信封。 解密过程则需要私钥和可能的证书,使用smime命令的解密选项,指定输入和输出文件,以及私钥的位置。 同时,可能需要注意一些常见的参数,比如-inform和-outform指定PEM或DER格式,如果用户需要的话。不过默认情况下,PEM格式可能更常见,所以示例中使用PEM。 另外,用户可能需要了解如何生成测试用的证书和私钥,这样他们可以实际运行示例命令。因此,提供生成自签名证书和私钥的步骤是有帮助的,尽管这可能不是PKCS7直接相关的,但作为准备工作是必要的。 还要考虑可能的错误,比如证书格式不正确,或者私钥不匹配,这时候需要提醒用户确保证书和私钥对应,并且是有效的。 最后,生成相关问题,这些问题应该围绕PKCS7数字信封的其他方面,比如PKCS#12的区别,错误处理,性能优化等,以帮助用户进一步学习。 现在需要验证这些步骤是否正确,可能需要查阅OpenSSL的官方文档或可靠的参考资料,确保命令参数和流程正确。比如,检查smime命令-encrypt和-decrypt选项是否适用于PKCS7的数字信封操作,以及是否需要其他参数如-stream或-nodes等。 可能还需要考虑是否需要使用特定的加密算法,比如-des3或者-aes256,在示例中给出明确的算法选项,避免用户困惑。 总结下来,回答的结构应该是先简介PKCS7数字信封,然后分步骤给出加密和解密的命令示例,包括生成测试证书的步骤,最后提供相关问题。</think>### OpenSSL PKCS7 数字信封命令使用教程 PKCS7 数字信封通过结合对称加密和非对称加密,实现安全的密钥交换和数据传输[^1]。其核心步骤为: 1. 使用对称加密算法加密数据 2. 使用接收方公钥加密对称密钥 3. 将加密结果打包为PKCS7格式 #### 一、环境准备(生成测试证书) ```bash # 生成CA私钥 openssl genrsa -out ca.key 2048 # 生成自签名证书 openssl req -x509 -new -key ca.key -days 3650 -out ca.crt # 生成接收方密钥对 openssl genrsa -out recipient.key 2048 openssl req -new -key recipient.key -out recipient.csr openssl x509 -req -in recipient.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out recipient.crt ``` #### 二、加密操作(发送方) ```bash echo "Secret Message" > plain.txt openssl smime -encrypt \ -in plain.txt \ -out encrypted.p7m \ -outform PEM \ recipient.crt ``` *参数说明:* - `-aes256`:指定对称加密算法(默认RC2-40) - `-binary`:保留二进制数据格式 - 输出文件包含加密内容和加密后的对称密钥 #### 三、解密操作(接收方) ```bash openssl smime -decrypt \ -in encrypted.p7m \ -inform PEM \ -out decrypted.txt \ -inkey recipient.key \ -recip recipient.crt ``` *注意事项:* 1. 必须使用加密证书配对的私钥 2. 证书链验证可通过`-CAfile`参数指定 #### 四、进阶操作 1. **多接收方支持**: ```bash openssl smime -encrypt -in plain.txt -out multi.p7m recipient1.crt recipient2.crt ``` 2. **DER格式输出**: ```bash openssl smime -encrypt -in plain.txt -outform DER -out encrypted.der recipient.crt ``` [^1]: PKCS#7标准定义了加密消息语法,广泛应用于数字证书和加密数据传输。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值