openssl 命令: openssl req 命令详解

已于 2023-03-30 21:04:24 修改
阅读量1.7k 收藏 4
点赞数
分类专栏: 开发工具 文章标签: ssl
于 2023-02-08 15:49:23 首次发布
原文链接:https://blog.csdn.net/abccheng/article/details/82622899
版权

https://blog.csdn.net/abccheng/article/details/82622899

#设置证书名称,下面的命令中用该变量值替换
name=party_id  # change to Pi or Ci
​
#生成证书
openssl req -x509 -days 3650 -nodes -newkey rsa -keyout ./$name.key -out ./$name.pem -subj "/CN=$name"
​
#生成示例
openssl req -x509 -days 3650 -nodes -newkey rsa -keyout ./party1.key -out ./party1.pem -subj "/CN=party1"

openssl req命令主要的功能有,生成证书请求文件, 查看验证证书请求文件,还有就是生成自签名证书。

OpenSSL下载安装:

linux: https://www.openssl.org/source/

windows: http://slproweb.com/products/Win32OpenSSL.html

主要命令选项:

-x509 : 说明生成自签名证书,自签名证书又称为根证书,是自己颁发给自己的证书,即证书中的颁发者和主体名相同。

-days n : 指定自签名证书的有效期限,默认30天,需要和"-x509"一起使用。

-nodes : 如果指定-newkey自动生成秘钥,那么-nodes选项说明生成的秘钥不需要加密,即不需要输入passphase.

-newkey : -newkey是指在生成证书请求或者自签名证书的时候自动生成密钥,然后生成的密钥名称由-keyout参数指定。当指定newkey选项时,后面指定rsa:bits说明产生rsa密钥,位数由bits指定。 如果没有指定选项-key和-newkey,默认自动生成秘钥。

-keyout : 指明创建的新的私有密钥文件的文件名

-out : -out 指定生成的证书请求或者自签名证书名称

-config : 默认参数在ubuntu上为 /etc/ssl/openssl.cnf, 可以使用-config指定特殊路径的配置文件

-batch : 指定非交互模式,直接读取config文件配置参数,或者使用默认参数值

-verbose : 显示操作执行的详细信息

-subj args :替换或自定义证书请求时需要输入的信息,并输出修改后的请求信息。args的格式为"/type0=value0/type1=value1...",如果value为空,则表示使用配置文件中指定的默认值,如果value值为".",则表示该项留空。

        其中可识别type有:

        C是Country、ST是state、L是localcity、O是Organization、OU是Organization Unit、CN是common name等

详细说明

openssl命令目录:

https://www.cnblogs.com/aixiaoxiaoyu/p/8650180.html

用途:

生成证书请求文件、验证证书请求文件和创建根CA。

语法:

openssl req

[-new] [-newkey rsa:bits] [-verify] [-x509] [-in filename] [-out filename]

[-key filename] [-passin arg] [-passout arg] [-keyout filename] [-pubkey]

[-nodes] [-[dgst]] [-config filename] [-subj arg] [-days n] [-set_serial n]

[-extensions section] [-reqexts section] [-utf8] [-nameopt] [-reqopt] [-subject]

[-subj arg] [-text] [-noout] [-batch] [-verbose]

参数说明:

-new :创建一个证书请求文件,会交互式提醒输入一些信息,这些交互选项以及交互选项信息的长度值以及其他一些扩展属性在配置文件(默认为

:openssl.cnf,还有些辅助配置文件)中指定了默认值。如果没有指定"-key"选项,则会自动生成一个RSA私钥,该私钥的生成位置

:也在openssl.cnf中指定了。如果指定了-x509选项,则表示创建的是自签署证书文件,而非证书请求文件

-newkey args :类似于"-new"选项,创建一个新的证书请求,并创建私钥。args的格式是"rsa:bits"(其他加密算法请查看man),其中bits

:是rsa密钥的长度,如果bits省略了(即-newkey rsa),则长度根据配置文件中default_bits指令的值作为默认长度,默认该值为2048

:如果指定了-x509选项,则表示创建的是自签署证书文件,而非证书请求文件

-nodes :默认情况下,openssl req自动创建私钥时都要求加密并提示输入加密密码,指定该选项后则禁止对私钥文件加密

-key filename :指定私钥的输入文件,创建证书请求时需要

-keyout filename :指定自动创建私钥时私钥的存放位置,若未指定该选项,则使用配置文件中default_keyfile指定的值,默认该值为privkey.pem

-[dgst] :指定对创建请求时提供的申请者信息进行数字签名时的单向加密算法,如-md5/-sha1/-sha512等,

:若未指定则默认使用配置文件中default_md指定的值 -verify :对证书请求文件进行数字签名验证

-x509 :指定该选项时,将生成一个自签署证书,而不是创建证书请求。一般用于测试或者为根CA创建自签名证书

-days n :指定自签名证书的有效期限,默认30天,需要和"-x509"一起使用。

:注意是自签名证书期限,而非请求的证书期限,因为证书的有效期是颁发者指定的,证书请求者指定有效期是没有意义的,

:配置文件中的default_days指定了请求证书的有效期限,默认365天

-set_serial n :指定生成自签名证书时的证书序列号,该序列号将写入配置文件中serial指定的文件中,这样就不需要手动更新该序列号文件

:支持数值和16进制值(0x开头),虽然也支持负数,但不建议 -in filename :指定证书请求文件filename。注意,创建证书请求文件时是不需要指定该选项的

-out filename :证书请求或自签署证书的输出文件,也可以是其他内容的输出文件,不指定时默认stdout

-subj args :替换或自定义证书请求时需要输入的信息,并输出修改后的请求信息。args的格式为"/type0=value0/type1=value1...",

:如果value为空,则表示使用配置文件中指定的默认值,如果value值为".",则表示该项留空。其中可识别type(man req)有:

:C是Country、ST是state、L是localcity、O是Organization、OU是Organization Unit、CN是common name等 【输出内容选项:】

-text :以文本格式打印证书请求

-noout :不输出部分信息 -subject :输出证书请求文件中的subject(如果指定了x509,则打印证书中的subject)

-pubkey :输出证书请求文件中的公钥 【配置文件项和杂项:】

-passin arg :传递解密密码

-passout arg :指定加密输出文件时的密码

-config filename :指定req的配置文件,指定后将忽略所有的其他配置文件。如果不指定则默认使用/etc/pki/tls/openssl.cnf中req段落的值

-batch :非交互模式,直接从配置文件(默认/etc/pki/tls/openssl.cnf)中读取证书请求所需字段信息。但若不指定"-key"时,仍会询问key

-verbose :显示操作执行的详细信息

input_password :密码输入文件,和命令行的"-passin"选项对应,

output_password :密码的输出文件,与命令行的"-passout"选项对应,

default_bits :openssl req自动生成RSA私钥时的长度,不写时默认是512,命令行的"-new"和"-newkey"可能会用到它

default_keyfile:默认的私钥输出文件,与命令行的"-keyout"选项对应

encrypt_key :当设置为no时,自动创建私钥时不会加密该私钥。设置为no时与命令行的"-nodes"等价。还有等价的兼容性写法:encry_rsa_key

default_md :指定创建证书请求时对申请者信息进行数字签名的单向加密算法,与命令行的"-[dgst]"对应

prompt :当指定为no时,则不提示输入证书请求的字段信息,而是直接从openssl.cnf中读取 :请小心设置该选项,很可能请求文件创建失败就是因为该选项设置为no

distinguished_name:(DN)是一个扩展属性段落,用于指定证书请求时可被识别的字段名称。

示例:

a.根据私钥pri_key.pem生成一个新的证书请求文件。其中"-new"表示新生成一个新的证书请求文件,

"-key"指定私钥文件,"-out"指定输出文件,此处输出文件即为证书请求文件。

openssl genrsa -out pri_key.pem

openssl req -new -key pri_key.pem -out req1.csr

b.查看证书请求文件内容。

openssl req -in req1.csr或cat req1.csr或openssl req -in req1.csr -text

c.指定证书请求文件中的签名算法。

openssl req -new -key pri_key.pem -out req2.csr -md5

d.验证请求文件的数字签名,这样可以验证出证书请求文件是否被篡改过。

openssl req -verify -in req2.csr

e.自签署证书,可用于自建根CA时。

openssl req -x509 -key pri_key.pem -in req1.csr -out CA1.crt -days 365

f.让openssl req自动创建所需的私钥文件。

openssl req -new -out req3.csr 或

openssl req -new -out req3.csr -nodes -keyout myprivkey.pem

g.使用"-newkey"选项。

openssl req -newkey rsa:2048 -out req3.csr -nodes -keyout myprivkey.pem

yygr
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
利用OpenSSL生成证书详解
06-06
利用OpenSSL生成证书详解,利用OpenSSL生成证书详解
openssl 命令(1): openssl req 命令详解
热门推荐
花括号的博客
09-11 2万+
openssl req命令主要的功能有,生成证书请求文件, 查看验证证书请求文件,还有就是生成自签名证书。 本文就主要记录一下openssl命令选项的意义,并记录一下简单的命令示例。 首先说明下生成证书请求需要什么:申请者需要将自己的信息及其公钥放入证书请求中。但在实际操作过程中, 所需要提供的是私钥而非公钥,因为它会自动从私钥中提取公钥。另外,还需要将提供的数据进行数字签名 (使用单向加密),...
使用OpenSSL工具验证证书
最新发布
Htojk的博客
03-28 673
验证证书文件的原理是基于公钥加密技术。证书中包含公钥,私钥由证书所有者保留。当客户端与服务器建立安全连接时,服务器会将证书发送给客户端,客户端使用包含在证书中的公钥来验证服务器身份,并加密通信数据。如果证书有效且签名有效,则客户端可以相信服务器的身份,建立安全通信。:SSL 证书通常包含公钥、证书所有者的信息、证书颁发机构(Certificate Authority, CA)的签名以及证书的有效期等信息。以上命令将检查证书的签名链是否可以追溯到根证书,并给出验证结果。
openssl req
艾小小雨的博客
04-20 3386
用途:生成证书请求文件、验证证书请求文件和创建根CA。语法:openssl req [-new] [-newkey rsa:bits] [-verify] [-x509] [-in filename] [-out filename][-key filename] [-passin arg] [-passout arg] [-keyout filename] [-pubkey] [-nod...
OpenSSL命令---req
VitalityShow(网络通讯)
11-18 1万+
本指令用来创建和处理PKCS#10格式的证书。它还能够建立自签名证书,做Root CA。
openssl简介-指令req
三口酥屋
03-21 1566
 openssl简介-指令req openssl简介-指令req     用法:         openssl req [-inform PEM|DER] [-outform PEM|DER] [-in filename]         [-passin arg] [-out filename] [-passout arg] [-text] [-noout]
openssl 证书请求和自签名命令req详解
weixin_30783629的博客
04-20 515
1、密钥、证书请求、证书概要说明 在证书申请签发过程中,客户端涉及到密钥、证书请求、证书这几个概念,初学者可能会搞不清楚三者的关系,网上有的根据后缀名来区分三者,更让人一头雾水。我们以申请证书的流程说明三者的关系。客户端(相对于CA)在申请证书的时候,大体上有三个步骤: 第一步:生成客户端的密钥,即客户端的公私钥对,且要保证私钥只有客户端自己拥有。 第二步:以客户端的密钥和客户端自身...
使用OpenSSL生成/签发证书步骤
xiejianweifdd的博客
08-27 3208
openssl 证书 自签名 私有CA
openssl req 命令详解_
qq_50744429的博客
04-11 295
设置证书名称,下面的命令中用该变量值替换​#生成证书​#生成示例req命令主要的功能有,生成证书请求文件, 查看验证证书请求文件,还有就是生成自签名证书。
openssl req(生成证书请求和自建CA)
yygr的博客
02-10 864
另外,还需要将提供的数据进行数字签名(使用单向加密),保证该证书请求文件的完整性和一致性,防止他人盗取后进行篡改,例如黑客将为www.baidu.com所申请的证书请求文件中的公司名改成对方的公司名称,如果能够篡改成功,则签署该证书请求时,所颁发的证书信息中将变成他人信息。例如此处指定md5算法。实际上,"-x509"选项和"-new"或"-newkey"配合使用时,可以不指定证书请求文件,它在自签署过程中将在内存中自动创建证书请求文件,当然,既然要创建证书请求文件,就需要人为输入申请者的信息了。
使用 openssl 生成证书
好习惯成就伟大
08-11 2469
一、openssl 简介 openssl 是目前最流行的 SSL 密码库工具,其提供了一个通用、健壮、功能完备的工具套件,用以支持SSL/TLS 协议的实现。 官网:https://www.openssl.org/source/ 构成部分 密码算法库 密钥和证书封装管理功能 SSL通信API接口 用途 建立 RSA、DH、DSA key 参数 建立 X.509 证书、证书签名请求(CSR)和CRLs(证书回收列表) 计算消息摘要 使用各种 Cipher加密/解密 SSL/TLS 客户端以
OpenSSL-Win32.zip
09-12
见名识意,就是openssl win32 相关的库文件
heartbleed.js:openssl Heartbleed bug(CVE-2014-0160) 检查 Node.js
06-09
针对 Node.js 的 openssl Heartbleed 错误检查 检查结果 {"code":0,"data":"1803021003020ff0d8030253435b909d9b720bbc0cbc2b92a84897cfbd3904cc160a8503909..."} code: 0易受攻击。 (存在漏洞) code: 1不易受...
mkssl:使用OpenSSL创建证书颁发机构和证书的Shell脚本
05-01
您可以在req_distinguished_name部分的/usr/local/ssl/openssl.cnf中找到它。在这里,您可以设置默认值(由变量名后的_default表示)。 任何没有默认设置的设置(例如localityName都可以通过附加_default来进行一项...
openssl生成认证证书的工具
10-21
openssl x509 -req -in certreq.csr -out cert.cer -signkey server.key -days 3650 现在你将得到一个名为cert.cer的证书文件。 修改server.xml将 maxThreads="150" scheme="https" secure="true" ...
Openssl命令 genrsa, rsa, req, x509命令详解
t990423909的专栏
10-18 5959
openssl 是目前最流行的 SSL 密码库工具,其提供了一个通用、健壮、功能完备的工具套件,用以支持SSL/TLS 协议的实现。 genrsa、rsa、req、x509子命令主要用于RSA密钥的生成和处理,以及证书的申请和制作。 一、genrsa子命令 用途 genrsa子命令主要用于生成RSA私钥。 命令行格式: openssl genrsa [args] [numbits] 选项 -des 使用des cbc模式对私钥文件进行加密。 -des3 使用des3 cbc模式对私钥文件进行
OpenSSL指令---req
weixin_30670965的博客
05-07 167
windows上运行openssl 报WARNING: can't open config file: /usr/local/ssl/openssl.cnf 解决方法: set OPENSSL_CONF=你的路径/openssl.cnf OpenSSL命令---req 用途: 本指令用来创建和处理PKCS#10格式的证书。它还能够建立自签名证书,做Root CA。 用法: ope...
openssl req命令
来说意义非凡3
03-05 1670
openssl req可生成请求文件及证书文件等;req [options] <infile >outfile where options are -inform arg input format - DER or PEM -outform arg output format - DER or PEM -in arg input file -out a...
OpenSSL制作自签名V3证书
Lazyafei's Blog
04-14 5041
本文以制作指定ip(200.4.170.132)证书为例,其他ip或域名请自行更换。 1、创建根证书私钥 openssl genrsa -out RootCA.key 1024 2、创建根证书请求文件(CSR - Certificate Signing Request ) openssl req -subj "/C=CN/ST=Beijing/L=Beijing/O=lazyOrg/OU=lazyOrg/CN=root/[email protected]" ...
openssl 命令
08-26
openssl 是一个开源的加密工具包,提供了一系列的命令行工具,用于处理安全证书、密码和进行加密解密等操作。以下是一些常用的 openssl 命令: 1. 生成 RSA 密钥对: ``` openssl genrsa -out private.key 2048 ``` 2. 生成自签名证书: ``` openssl req -new -x509 -sha256 -key private.key -out certificate.crt -days 365 ``` 3. 生成证书签名请求(CSR): ``` openssl req -new -sha256 -key private.key -out csr.csr ``` 4. 查看证书信息: ``` openssl x509 -in certificate.crt -text -noout ``` 5. 对称加密: ``` openssl enc -e -aes256 -in plaintext.txt -out encrypted.bin ``` 6. 对称解密: ``` openssl enc -d -aes256 -in encrypted.bin -out plaintext.txt ``` 7. 在 HTTPS 上测试 SSL/TLS 连接: ``` openssl s_client -connect example.com:443 ``` 以上只是一些常用的 openssl 命令示例,你可以根据具体需求去查阅 openssl 的官方文档或者使用 openssl 命令的帮助选项来获取更详细的信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值