openssl req和x509命令及配置文件

最新推荐文章于 2023-11-03 07:00:00 发布
最新推荐文章于 2023-11-03 07:00:00 发布
阅读量3.3k 收藏 1
点赞数
分类专栏: PKI
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ayang1986/article/details/77897562
版权

1. req 命令及配置

openssl req -utf8 -new -config client/req.cnf -key client/client-key.pem -sha1 -out client/client-req.csr 


client/req.cnf文件内容: 

[req]
prompt = no
distinguished_name = dn
input_password = 123456

[dn]
O = 企业名称
1.OU = 部门名称1
2.OU = 部门名称2
emailAddress = 邮箱地址
CN = 用户名称


2. x509命令及配置

openssl x509 -req -in client/client-req.csr -out client/client-cert.pem -extfile client/x509.cnf -sha1 -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -CAcreateserial -days 365 


client/x509.cnf文件内容: 

extensions = ext

[ext]
# Extensions to add to a certificate request
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
#subjectAltName = otherName:1.3.6.1.4.1.311.20.2.3;UTF8:名称
#subjectAltName = DNS:www.feistyduck.com,DNS:feistyduck.com
subjectAltName = @alt_names

[alt_names]
#DNS.1   = www.foo.com
#DNS.2   = www.bar.org
#IP.1    = 192.168.1.1
#IP.2    = 192.168.69.144
#email = test@test.com
otherName = 1.3.6.1.4.1.311.20.2.3;UTF8:名称


3.  证书生成完整命令

/ /================================================================================
// 生成ca证书  

// 生成密钥
openssl genrsa -out ca/ca-key.pem 2048 

openssl dsaparam -out ca/dsa.pem 2048
openssl gendsa -out ca/ca-key.pem ca/dsa.pem

// 生成请求
openssl req -utf8 -new -config ca/ca.cnf -key ca/ca-key.pem -sha1 -out ca/ca-req.csr 

// 查看请求(可选)
openssl req -text -in ca/ca-req.csr -noout

// 自签署证书
openssl x509 -req -in ca/ca-req.csr -out ca/ca-cert.pem -signkey ca/ca-key.pem -sha1 -days 365 

// 检查证书(可选)
openssl x509 -text -in ca/ca-cert.pem -noout

// 导出证书
openssl pkcs12 -export -clcerts -in ca/ca-cert.pem -inkey ca/ca-key.pem -out ca/ca.p12 

openssl genrsa -out ca/ca-key.pem 2048 
openssl req -utf8 -new -config ca/ca.cnf -key ca/ca-key.pem -sha1 -out ca/ca-req.csr 
openssl x509 -req -in ca/ca-req.csr -out ca/ca-cert.pem -signkey ca/ca-key.pem -sha1 -days 365 
openssl pkcs12 -export -clcerts -in ca/ca-cert.pem -inkey ca/ca-key.pem -out ca/ca.p12 



//====================================================================================
// 生成client证书

// 生成密钥
openssl genrsa -out client/client-key.pem 2048 

// 生成请求
openssl req -utf8 -new -config client/req.cnf -key client/client-key.pem -sha1 -out client/client-req.csr 

// 查看请求(可选)
openssl req -text -in client/client-req.csr -noout

// 自签署证书
openssl x509 -req -in client/client-req.csr -out client/client-cert.pem -extfile client/x509.cnf -sha1 -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -CAcreateserial -days 365 

// 检查证书(可选)
openssl x509 -text -in client/client-cert.pem -noout

// 导出证书
openssl pkcs12 -export -clcerts -in client/client-cert.pem -inkey client/client-key.pem -out client/client.p12 

openssl genrsa -out client/client-key.pem 2048 
openssl req -utf8 -new -config client/req.cnf -key client/client-key.pem -sha1 -out client/client-req.csr 
openssl x509 -req -in client/client-req.csr -out client/client-cert.pem -extfile client/x509.cnf -sha1 -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -CAcreateserial -days 365
openssl pkcs12 -export -clcerts -in client/client-cert.pem -inkey client/client-key.pem -out client/client.p12 


Oo璀璨星海oO
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
openssl 命令(1): openssl req 命令详解
花括号的博客
09-11 2万+
openssl req命令主要的功能有,生成证书请求文件, 查看验证证书请求文件,还有就是生成自签名证书。 本文就主要记录一下openssl命令选项的意义,并记录一下简单的命令示例。 首先说明下生成证书请求需要什么:申请者需要将自己的信息及其公钥放入证书请求中。但在实际操作过程中, 所需要提供的是私钥而非公钥,因为它会自动从私钥中提取公钥。另外,还需要将提供的数据进行数字签名 (使用单向加密),...
使用openssl创建并签署SSL/TLS证书
走在成长的路上
01-28 2198
希望在生成 SSL/TLS 证书之前,您已经安装有 openssl 以及对 SSL/TLS 有了初步的了解。 概述 本文主要讲述CA的私钥和x509自签名证书的生成,服务器/客户端的私钥和CSR的生成,以及CA对服务器/客户端的CSR签名操作。初始文件包括server-ext.cnf、client-ext.cnf以及gen.sh,相关内容如下: server-ext.cnf subjectAltName=DNS:*.study.com,DNS:*.study.org,IP:0.0.0.0 client-e
Openssl编程获取X509证书的DNS
auvKone
05-20 3614
证书中的DNS指的是X509v3扩展里面的X509v3 Subject Alternative Name;可以使用命令查看openssl x509 -text -noout -in 1.crt输出如下:X509v3 extensions: X509v3 Subject Alternative Name: DNS: test.com代码如下:#include <stdio.h
OpensslX509系列
05-03
X509是系列的函数在我们开发与PKI相关的应用的时候我们都会用到,但是OpenSSL中对X509的描述并不是很多。初学者可能对openssl实现X509证书不太了解,文档可以帮助大家尽快上手。
openssl x509参数介绍(官方完整版)
weixin_39565764的博客
09-22 8145
** x509 ** NAME openssl-x509, x509 - 证书显示和签名实用程序 概要 openssl x509 [-help] [-inform DER|PEM] [-outform DER|PEM] [-keyform DER|PEM|ENGINE] [-CAform DER|PEM] [-CAkeyform DER|PEM] [-in filename] [-out filename] [-serial] [-hash] [-subject_hash] [-issuer_hash] [
openssl命令x509证书操作详解
最新发布
N阶二进制的博客
11-03 5874
OpenSSL 是一个开源的加密和解密工具,它提供了一系列命令来操作证书和密钥。以下是一些常用的 OpenSSL 命令,用于操作证书的详细解释:生成自签名证书是指在没有经过任何第三方证书颁发机构(CA,Certificate Authority)的认证下,由个人或组织自行创建和签名的数字证书。自签名证书可以用于安全通信,但在实际应用中,它们通常用于测试、开发和内部使用,而不是在公共网络中使用,因为它们没有受到可信任 CA 的验证,可能会引发安全问题。在使用自签名证书时,虽然可以加密通信,但客户端在连接时通常
openssl 命令(3): openssl x509命令详解
热门推荐
花括号的博客
09-14 2万+
openssl x509命令具以下的一些功能,例如输出证书信息,签署证书请求文件、生成自签名证书、转换证书格式等。openssl x509工具不会使用openssl配置文件中的设定,而是完全需要自行设定或者使用该伪命令的默认值,它就像是一个完整的小型的CA工具箱。 主要选项: -in filename          : #指定证书输入文件,若同时指定了"-req"选项,则表示输入文件为证书请...
参数理解 openssl req -x509 -new -nodes -key ca.key -days 10000 -out ca.crt -subj “/CN=admission_ca“
liuchenbei的博客
09-18 637
在这个例子中,证书的 CN 设置为 “admission_ca”,表示这是一个用于 Admission Webhook 的证书。总之,这个命令用于生成一个自签名的 X.509 证书,该证书不加密私钥,有效期很长(10000 天),并将证书保存为 ca.crt 文件。这个证书可以用于安全通信或身份验证,但由于是自签名证书,不被公认的证书颁发机构(CA)签发,因此在生产环境中,需要小心使用。5.-key ca.key:这个选项指定了用于生成证书的私钥文件的路径,这是证书的关键部分。
Linux平台openssl工具生成CA证书的命令 配置文件 证书
12-24
这里会用到`openssl req`命令,结合`-x509`选项: ```bash openssl req -x509 -new -nodes -key ca.key -sha256 -days 3650 -out ca.crt ``` 这会创建一个有效期为3650天的CA证书(`ca.crt`),并且不设置密码...
OpenSSL安装包_配置文件
03-20
openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365 -nodes ``` 这将生成一对密钥(key.pem)和证书(cert.pem),有效期为365天。 **安全更新** 由于OpenSSL涉及到网络安全,因此定期...
OpenSSL-1.1.1i源码和编译文件
04-06
- 证书自签:`openssl req -x509 -new -key private.key -out cert.crt`创建自签名的X.509证书。 - 加密解密数据:`openssl enc -aes-256-cbc -in plaintext.txt -out ciphertext.bin`使用AES-256-CBC加密文本文件...
openssl可执行文件安装包.rar
05-26
2. **生成自签名证书**:`openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365` 3. **查看证书信息**:`openssl x509 -in cert.pem -text -noout` 4. **公钥加密**:`openssl rsautl -...
openssl命令操作证书链实例
09-06
这个命令会生成一个有效期为3650天的2048位RSA密钥对,并使用配置文件`openssl.cnf`中的设置自签发根CA证书。 2. **生成中间CA证书**: ``` openssl req -new -key intermediateCA.key -out intermediateCA.csr ...
java读取X509拓展,通过Java API打开x509证书存储
weixin_39540704的博客
02-25 197
I am trying to show the list of certificates from the Client Certificate store in JSP.In .Net there is an option to show the list of certificates with the following code...X509Store xStore = new X509S...
Openssl命令 genrsa, rsa, req, x509命令详解
t990423909的专栏
10-18 6292
openssl 是目前最流行的 SSL 密码库工具,其提供了一个通用、健壮、功能完备的工具套件,用以支持SSL/TLS 协议的实现。 genrsa、rsa、req、x509命令主要用于RSA密钥的生成和处理,以及证书的申请和制作。 一、genrsa子命令 用途 genrsa子命令主要用于生成RSA私钥。 命令行格式: openssl genrsa [args] [numbits] 选项 -des 使用des cbc模式对私钥文件进行加密。 -des3 使用des3 cbc模式对私钥文件进行
OpenSSL中文手册之X509库详解(未完待续)
liao20081228的博客
08-19 9724
OpenSSLX509系列之1—引言和X509概述 【引言】 X509是系列的函数在我们开发与PKI相关的应用的时候我们都会用到,但是OpenSSL中对X509的描述并不是很多,鉴于些,我将以前工作与学习过程的经验整理出来,供大家参考,不用多走弯路,可以将精力集中在自己要处理的业务逻辑上,同时也希望更多的人参与到研究与整理信息安全的理论与技术中来,提高中国的科研与应用技术水平。提高中国
openswan--X509配置方式
guoyangbill的博客
01-25 548
产生证书的详细的操作步骤。   openssl genrsa -des3 -out server.key 1024   openssl -in server.key -out server.key   openssl rsa -in server.key -out server.key   openssl req -new -key server.key -out server.csr -
用OpenSWAN做Linux下的IPSec ×××的详细配置指南
weixin_33742618的博客
01-27 991
1.概述 2.安装Openswan 3.认证和配置 3.1 RSAsig认证方式的配置 3.2 x.509证书认证的配置 3.3 RoadWarrior模式的配置 5.Windows客户端的配置 ***** 1.概述 LInux上的×××支持主要有三种: 1)IPSec ‘s ××× 其主要代表有 F...
CentOS8【OpenSSL】制作自签证书和 HTTPS 配置
06-08
在 CentOS 8 上制作自签证书和配置 HTTPS 需要以下步骤: 1. 安装 OpenSSL 在终端中输入以下命令进行安装: ``` sudo dnf install openssl ``` 2. 生成私钥 在终端中输入以下命令生成私钥: ``` openssl genrsa -out server.key 2048 ``` 这将生成一个 2048 位的 RSA 私钥,并将其保存到名为 server.key 的文件中。 3. 生成证书签名请求 (CSR) 在终端中输入以下命令生成证书签名请求: ``` openssl req -new -key server.key -out server.csr ``` 在生成 CSR 时,你需要提供一些信息,如国家/地区、州/省、城市、组织名称、组织单位、通用名称等。这些信息将被用于生成 SSL 证书。 4. 生成自签名 SSL 证书 在终端中输入以下命令生成自签名 SSL 证书: ``` openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt ``` 这将生成一个有效期为 365 天的自签名 SSL 证书,并将其保存到名为 server.crt 的文件中。 5. 配置 HTTPS 在 Apache 或 Nginx 中启用 HTTPS 需要编辑相应的配置文件并重启服务。 以 Nginx 为例,编辑 /etc/nginx/nginx.conf 文件,在 server 块中添加以下内容: ``` listen 443 ssl; ssl_certificate /path/to/server.crt; ssl_certificate_key /path/to/server.key; ``` 然后重启 Nginx 服务: ``` sudo systemctl restart nginx ``` 现在你可以通过 https://yourdomain.com 访问网站,并且浏览器中将出现 SSL 证书的锁图标,表示已启用 HTTPS。 注意:在生成 SSL 证书时,一定要确保通用名称 (CN) 与你要使用 SSL 证书的域名相同,否则 SSL 连接将被浏览器拒绝。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值