【实用工具系列】(7)使用OpenSSL创建证书

已于 2023-10-13 22:45:28 修改
阅读量772 收藏
点赞数
分类专栏: 杂记 文章标签: batch 自动化 ssl
于 2023-10-13 17:12:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenguangqi/article/details/133813667
版权

文章目录

前言

最近在做PDF签名相关的功能,其中需要使用证书来签名。于是参考OpenSSL和其他网络文章,作成了一些方便的脚本文件来创建CA证书和终端证书。

一、OpenSSL简介

关于证书相关的概念可以自行搜索相关文章,这里就不赘述了。OpenSSL命令的使用可以参数其官方网站,其中包含各个命令及其参数的详细说明。

二、作成证书脚本文件

首先安装OpenSSL,可以从https://slproweb.com/download/Win64OpenSSL_Light-3_1_3.msi下载安装程序。
下面的脚本假设OpenSSL的安装目录为: D:\opts\OpenSSL-Win64\bin,可以根据自己的情况调整。

1. 生成根证书

代码如下(示例):

@echo off

path D:\opts\OpenSSL-Win64\bin;%PATH%

setlocal enabledelayedexpansion

rem 设置CA的根目录
set CATOP=%~dp0
set OPENSSL_CONF=%CATOP%openssl.cnf

for /f "tokens=1 delims= " %%i in (ca-list) do (
    set ca_name=%%i
    set ca_dir=%CATOP%!ca_name!
    set ca_crt=!ca_dir!\cacert.pem
    set ca_key=!ca_dir!\private\cakey.pem

    if not exist !ca_crt! if not exist !ca_key! (
       mkdir !ca_dir!
       mkdir !ca_dir!\private

       openssl req ^
           -new ^
           -keyout !ca_key! ^
           -out    !ca_crt! ^
           -passout "pass:mycap@ss" ^
           -subj "/C=CN/ST=ShanngXi/O=Test/CN=!ca_name!" ^
           -x509 -days 1095 -extensions v3_ca
    )
)

文件ca-list内容如下:

Test-Root-CA

2. 生成终端用户证书

代码如下(示例):

@echo off

path D:\opts\OpenSSL-Win64\bin;%PATH%

setlocal enabledelayedexpansion

rem 设置CA的根目录
set CATOP=%~dp0
set OPENSSL_CONF=%CATOP%openssl.cnf


for /f "tokens=1-4 delims= " %%i in (target-list) do (
    set common_name=%%i
    set ca_name=%%j
    set ext_section=%%k
    set expire_days=%%l


    set ca_dir=%CATOP%!ca_name!


    if not exist !ca_dir!\certs    mkdir !ca_dir!\certs >nul
    if not exist !ca_dir!\newcerts mkdir !ca_dir!\newcerts >nul

    if not exist !ca_dir!\serial    echo 1000 >!ca_dir!\serial
    if not exist !ca_dir!\index.txt type nul  >!ca_dir!\index.txt

    set new_key=!ca_dir!\certs\!common_name!.key.pem
    set new_csr=!ca_dir!\certs\!common_name!.csr.pem
    set new_crt=!ca_dir!\certs\!common_name!.crt.pem
    set new_p12=!ca_dir!\certs\!common_name!.p12

    if not exist !new_key! (
        openssl genrsa -out !new_key! 2048
    )

    if not exist !new_csr! (
        openssl req -new -key !new_key! -out !new_csr! -subj "/title=Title1/street=Street1/initials=F.K./SN=LastName1/GN=FirstName1/name=!common_name!/emailAddress=test@necas.com/CN=!common_name!/O=Test/ST=ShanngXi/C=CN"
    )

    if not exist !new_crt! (
        openssl ca ^
            -batch ^
            -extensions !ext_section! ^
            -out        !new_crt! ^
            -days       !expire_days! ^
            -passin     pass:mycap@ss ^
            -in         !new_csr!
    )
    rem openssl x509 -in Test-Root-CA\certs\alice.crt.pem -noout -text
    rem openssl x509 -in Test-Root-CA\certs\alice.crt.pem -noout -nameopt RFC2253 -text

    openssl pkcs12 ^
        -export ^
        -in !new_crt! -inkey !new_key! -chain -CAfile !ca_dir!\cacert.pem ^
        -name !common_name! ^
        -out !new_p12! ^
        -password pass:password
)
endlocal

文件 target-list内容如下:

Alice Test-Root-CA v3_sign_user 1095
Bob   Test-Root-CA v3_sign_user 1095
Carol Test-Root-CA v3_sign_user 1095

3. 撤销终端用户证书

代码如下(示例):

@echo off

path D:\opts\OpenSSL-Win64\bin;%PATH%

setlocal enabledelayedexpansion

rem 设置CA的根目录
set CATOP=%~dp0
set OPENSSL_CONF=%CATOP%openssl.cnf

for /f "tokens=1-2 delims= " %%i in (revoke-list) do (
    rem 在这里定义的变量需要使用!访问
    set common_name=%%i
    set ca_name=%%j

    set ca_dir=%CATOP%!ca_name!
    set crt_file=!ca_dir!\certs\!common_name!.crt.pem

    if exist !crt_file! (
        openssl ca ^ -revoke !crt_file! -passin pass:mycap@ss
    )
)

endlocal

文件 revoke-list内容如下:

Carol NECAS-Root-CA

4. 更新撤销列表(CRL)

代码如下(示例):

@echo off

path D:\opts\OpenSSL-Win64\bin;%PATH%

setlocal enabledelayedexpansion

rem 设置CA的根目录
set CATOP=%~dp0
set OPENSSL_CONF=%CATOP%openssl.cnf

for /f "tokens=1 delims= " %%i in (ca-list) do (
    set ca_name=%%i

    set ca_dir=%CATOP%!ca_name!
    set crl_file=!ca_dir!\crl\crl.pem

    echo !crl_file!

    if not exist !ca_dir!\crl       mkdir !ca_dir!\crl
    if not exist !ca_dir!\crlnumber echo 00 >!ca_dir!\crlnumber

    openssl ca -gencrl -crldays 365 -out !crl_file! -passin pass:mycap@ss
)

endlocal

5. OpenSSL的配置文件

其内容如下:

dir=.
CA_DIR=.\demoCA

[ ca ]
default_ca	= CA_default

[ CA_default ]
prompt = no
dir	 = $ENV::CA_DIR
certs    = $dir/certs
crl_dir  = $dir/crl
database = $dir/index.txt

new_certs_dir=$dir/newcerts
certificate=$dir/cacert.pem
serial=$dir/serial

crlnumber=$dir/crlnumber
crl=$dir/crl.pem

private_key=$dir/private/cakey.pem


default_days=365
default_crl_days=30
default_md=default
#preserve=no

policy=policy_match

[ policy_match ]
countryName		= match
stateOrProvinceName	= match
organizationName	= match
organizationalUnitName	= optional
commonName		= supplied
emailAddress		= optional
name                    = optional
givenName               = optional
surname                 = optional
initials                = optional
streetAddress           = optional
title                   = optional

[ req ]
default_bits=2048
default_keyfile=privkey.pem
distinguished_name=req_distinguished_name
attributes=req_attributes
x509_extensions=v3_ca

# input_password=myp@ss
# output_password=myp@ss

[ req_distinguished_name ]
countryName			= Country Name (2 letter code)
countryName_default		= CN
countryName_min			= 2
countryName_max			= 2

stateOrProvinceName		= State or Province Name (full name)
stateOrProvinceName_default	= ShanngXi

localityName			= Locality Name (eg, city)

organizationName		= Organization Name (eg, company)
organizationName_default	= Test

# we can do this but it is not needed normally :-)
#1.organizationName		= Second Organization Name (eg, company)
#1.organizationName_default	= World Wide Web Pty Ltd

organizationalUnitName		= Organizational Unit Name (eg, section)
#organizationalUnitName_default	=

commonName			= Common Name (e.g. server FQDN or YOUR name)
commonName_max			= 64

emailAddress			= Email Address
emailAddress_default		= test@test.com
emailAddress_max		= 64

# SET-ex3			= SET extension number 3

name=Name
name_default=Name1
givenName=FirstName
givenName_default=FirstName1
surname=LastName
surname_default=LastName1
initials=Initials
initials_default=F.K.
streetAddress=Street
streetAddress_default=Street1
title=Title
title_default=Title1

[ req_attributes ]


[ v3_ca ]
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer
basicConstraints = CA:true
keyUsage = cRLSign, keyCertSign


[ v3_sign_user ]
basicConstraints = CA:false
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth, clientAuth
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer

subjectAltName = @SubjectAlternativeName

crlDistributionPoints=@crl_section

authorityInfoAccess=@ocsp_section

[ SubjectAlternativeName ]
IP.1 = 127.0.0.1
DNS.1 = localhost

[ crl_section ]
URI.0 = http://localhost:8080/crl.pem

[ ocsp_section ]
caIssuers;URI.0 = http://localhost:8080/cacert.pem
OCSP;URI.0 = http://localhost:8080/ocsp

关于配置需要特别说明的是req_distinguished_name节点中DN的字段还需要在policy-match节设置字段每个字段的策略,否则在签署的证书中将不包含未指定策略的字段。

总结

因为脚本执行的过程中不需要然后输入,可以自动化的快速创建测试需要的各个证书。当然也可以修改上面的脚本以符合其他使用的目的,希望能抛砖引玉。如能对你有所帮助也不胜荣幸。

仅供参考,如有帮助不胜荣幸,如需转载请注明出处。
请关注、点赞、收藏。

碧海苍鹰
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OpenSSL创建SSL证书
悦分享
06-03 4365
OpenSSL是一套开源的密码学工具包,为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其他目的使用。在SSL协议中,我们使用了很多密码学手段来保护数据,其中包括对称密码,公钥密码,数字签名,证书,完整性校验,伪随机数生成等。由于这些算法和操作都非常复杂,于是开源社区就开发了一套库,这个库里面提供了很多现成的标准方法,其他开发者只要正确的调用这些方法,就可以实现SSL协议中的各种加密/解密操作了。
OpenSSL工具使用安装文档
12-27
包含OpenSSL工具使用安装文档,简单的命令。。。。。
OpenSSL证书创建工具(最小绿色压缩包,含配置文件)
05-26
OpenSSL证书创建工具,用于证书创建、自签名等。 仅提取了openssl.exe、必须的2个DLL以及配置文件,直接解压后即可使用。 可参考我的博客《使用OpenSSL创建自签名证书》查看使用方法。
openssl生成免费证书
最新发布
认真!
03-14 720
des3 是算法,2048位强度(为了保密性)。server.key 是密钥文件名 -out的含义是:指生成文件的路径和名称。注意:server.crt 是证书持有人的信息,持有人的公钥,以及签署者的签名等信息。-signkey的含义: 自签名。-in的含义: 指定请求文件。x509的含义: 指定格式。
mkssl:使用OpenSSL创建证书颁发机构和证书的Shell脚本
05-01
使用OpenSSL创建证书颁发机构和证书MichaëlBekaert ##摘要这是使用OpenSSL 0.9.5作为参考编写的。 首先,您需要OpenSSL。 编译和安装遵循通常的方法。 值得注意的是,默认值将所有内容安装在/usr/local/ssl 。 无需更改(除非您想要)。 安装此程序后,您可能需要使用站点信息来编辑OpenSSL配置文件,以便在创建和签名证书使用合适的默认值。 您可以在req_distinguished_name部分的/usr/local/ssl/openssl.cnf中找到它。在这里,您可以设置默认值(由变量名后的_default表示)。 任何没有默认设置的设置(例如localityName都可以通过附加_default来进行一项设置。 在这种情况下,您将设置localityName_default 。 现在,我们继续创建一个私有的证书颁发机构(CA
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
01-16
使用OpenSSL生成密钥与证书,并进行双向验证
使用OpenSSL生成Kubernetes证书的介绍
01-10
kubernetes支持Base认证/Token认证/CA认证三种,这篇文章用于记录一下CA认证所需要的最简单程度的命令。 kubernetes构成 测试版本为1.10,但不限于此版本,为openssl证书较为通用的方式。 所需证书 所需要的证书相关文件的说明如下: CA证书 CA证书私钥 命令:openssl genrsa -out ca.key 2048 [root@host121 k8scert]# openssl genrsa -out ca.key 2048 Generating RSA private key, 2048 bit long modulus .......
通过openSSL生成自签名的SSL证书
adminstate的博客
01-12 1万+
ssl证书
使用OpenSSL生成/签发证书步骤
xiejianweifdd的博客
08-27 3208
openssl 证书 自签名 私有CA
Openssl 如何生成证书
linux_tcpdump的博客
10-16 2611
用途。
OpenSSL生成自签名证书使用
@tangguo123 博客
07-10 2546
openssl 生成自签名证书使用
openssl生成自签名证书
weixin_44240277的博客
06-10 8061
openssl生成自签名证书
使用OpenSSL生成/签发证书的原理、流程与示例
热门推荐
Laurence的技术博客
03-20 1万+
文章目录1 生成证书的步骤与原理2 标准的CA签发流程2.1 创建私钥(.key)2.2 基于私钥创建证书签名请求(.csr)2.3 (可选)直接同时生成私钥和证书签名请求2.4 将证书申请请求(.csr)提交给CA认证机构申请证书(.crt)2.5 CA机构生成CA证书链3 生成自签名证书3.1 创建私钥(.key)3.2 基于私钥(.key)创建证书签名请求(.csr)3.3 (可选)直接同时生成私钥(.key)和证书签名请求(.csr)3.4 使用自己的私钥(.key)签署自己的证书签名请求(.csr
openssl证书签发流程详解
魏志标的博客
06-13 3590
openssl 是目前最流行的 SSL 密码库工具,其提供了一个通用、健壮、功能完备的工具套件,用以支持SSL/TLS 协议的实现。构成部分密码算法库密钥和证书封装管理功能SSL通信API接口用途建立 RSA、DH、DSA key 参数建立 X.509 证书证书签名请求(CSR)和CRLs(证书回收列表)计算消息摘要使用各种 Cipher加密/解密SSL/TLS 客户端以及服务器的测试处理S/MIME 或者加密邮件数字证书标准X.509版本号。
使用 openssl 生成证书
weixin_34075551的博客
09-17 4446
一、openssl 简介 openssl 是目前最流行的 SSL 密码库工具,其提供了一个通用、健壮、功能完备的工具套件,用以支持SSL/TLS 协议的实现。官网:https://www.openssl.org/source/ 构成部分 密码算法库 密钥和证书封装管理功能 SSL通信API接口 用途 建立 RSA、DH、DSA key 参数 建立...
在Linux上使用openssl生成CA认证文件并为服务器和客户端颁发CA签名证书
树下一少年的博客
01-07 7289
本文基于Linux上CentOS 7版本配合openssl与mod_ssl(需要使用yum下载)进行配置演 在Linux上使用openssl生成CA认证文件并为服务器和客户端颁发CA签名证书 一.生成认证主要流程 1.虚拟出一个CA认证机构,生成公私钥以及自签证书 2.生成服务器方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证书 3.生成客户端方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证书 4.生成证书 二.具体过程 1.虚拟CA机构方生成内容 2.服务器方生成 3.客户端方生成
使用OpenSSL生成SSL证书的教程
qq_42760746的博客
03-01 7710
OpenSSL是一个加密软件库或工具包,它使计算机网络上的通信更加安全,可以使用其命令来创建SSL证书OpenSSL采用apache授权许可,将工具包用于商业或非商业目的,下面就来看下CS如何利用OpenSSL命令来生成SSL证书
openssl 创建证书
Jacoh的专栏
08-07 729
openssl 创建证书
Openssl生成证书-nginx使用ssl
m0_52369979的博客
11-03 1235
上面的过程其实是模拟了各大https证书厂商生成https证书的过程,其中涉及到了根证书等等一些概念,如果你不是太明白也没有关系,我们还有B方案,我只想要证书,不想搞得太深,那么请使用如下方法,简便快捷。6、根据CA机构的自签名证书ca.crt或者叫根证书生、CA机构的私钥ca.key、服务器的证书申请文件server.csr生成服务端证书。5、生成自签名证书,CA机构用自己的私钥和证书申请文件生成自己签名的证书,俗称自签名证书,这里可以理解为根证书。4、生成CA机构自己的证书申请文件。
使用openssl下载证书
06-07
使用 OpenSSL 下载证书需要使用 `s_client` 命令,具体步骤如下: 1. 打开终端,输入以下命令: ``` openssl s_client -showcerts -connect <hostname>:<port> ``` 其中 `<hostname>` 表示要下载证书的域名或 IP 地址,`<port>` 表示要下载证书的端口号。例如,如果要下载 `example.com` 域名的证书,可以输入以下命令: ``` openssl s_client -showcerts -connect example.com:443 ``` 2. 连接成功后,会输出证书链中的所有证书信息。可以将证书信息复制到文本编辑器中,并将其保存为 `.pem` 格式的文件,例如 `example.pem`。 3. 可以使用 OpenSSL 的 `x509` 命令来查看证书的详细信息。例如,可以输入以下命令来查看 `example.pem` 文件中的证书信息: ``` openssl x509 -in example.pem -text -noout ``` 该命令会输出证书的详细信息,包括证书的版本、序列号、颁发者、主题、有效期、公钥等各种属性。 需要注意的是,在实际使用中,下载证书的方式可能因为具体的需求和应用场景而有所不同。例如,如果需要对证书进行验证,可以将证书保存到本地的信任库中,或者使用 `curl` 等工具来下载证书,等等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值