使用OpenSSL生成私钥和证书
原理部分可以参考这篇文章的第二节,写的很详细
http://blog.csdn.net/jiangwei0910410003/article/details/50402000
生成密钥和证书的主要目的是给对象(文件,流)进行签名和签名验证
OpenSSL安装
Linux下安装openssl(以Ubuntu为例)
sudo apt-get install openssl
Windows下安装openssl
http://slproweb.com/products/Win32OpenSSL.html
根据操作系统选择版本直接安装
使用openssl生成私钥和证书
这里以Ubuntu为例,说明使用openssl如何生成私钥和证书,windows也是类似的
生成私钥
openssl ecparam -name prime256v1 -genkey -noout > eckey
参数解释:
ecparam
使用ECC算法法生成密钥
-name prime256v1
使用prime256v1曲线模型
-genkey
生成椭圆曲线密钥参数
-noout
不打印参数编码的版本信息。
一般来说有两种方法可以生成私钥,RSA和ECC,我这里选用ECC,RSA的算法在后面生成证书的时候会使用sha1生成digsest,而ECC算法使用sha256生成digest,在安全性上sha256比sha1要高,所以我这里选择了ECC算法
生成的私钥会保存在eckey文件中
使用req命令生成证书
openssl req -new -x509 -sha256 -key eckey -out mykey.x509.pem -days 10000 -subj '/C=CN/ST=Hubei/L=Wuhan/O=Test/OU=Test/CN=Test/emailAddress=380761489@qq.com'
参数解释:
-x509
生成自签名证书
-sha256
使用sha256算法计算digest
-key eckey
使用上一步生成的私钥
-out mykey.x509.pem
指定生成的证书名字
-days 10000
证书有效期为10000天
-subj
附加的一些信息,这些信息将会添加到证书里面
下面是-subj
字串内容的解释
/C
申请证书的组织所在的国家
/ST
申请证书的组织所在的省
/L
申请证书的组织所在的市
/O
申请证书的组织的组织名
/OU
申请证书的组织的主页
/CN
申请证书的组织的二级组织名
/emailAddress
申请证书的组织的邮箱
申请的自签名的证书保存在mykey.x509.pem中
将私钥转化为pkcs#8格式
openssl pkcs8 -in eckey -topk8 -outform DER -out mykey.pk8 -nocrypt
参数解释:
-topk8
表示将传统的私钥文件转化为pkcs#8的格式文件
-in eckey
第1步中生成的传统私钥文件
-outform DER
输出的文件编码格式,DER表示asn1的DER标准格式,其他的还有base64的PEM格式
-out mykey.pk8
输出的pkcs#8格式的私钥文件
-nocrypt
表示不需要密码
将私钥转化为pkcs#8格式是为了方便程序读取,很多标准库和三方库的接口都是基于pkcs#8的标准写的
至此,我们需要的两个文件已经生成,私钥mykey.pk8用户签名,而证书mykey.x509.pem则用于签名的验证