密码技术学习(8.3)-OpenSSL介绍

最新推荐文章于 2022-10-09 11:16:05 发布
最新推荐文章于 2022-10-09 11:16:05 发布
阅读量714 收藏 1
点赞数
分类专栏: 信息安全 文章标签: 密码学
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/laozhaishaozuo/article/details/82285374
版权

文章目录

什么是OpenSSL

在之前的文章中我们介绍了JDK自带的keytool工具,现在我来介绍另一个证书管理工具,它就是OpenSSL。

OpenSSL 是一个安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。百度百科

OpenSSL的基本用法

使用OpenSSL生成Key

使用OpenSSL生成Key你需要决定三件事

  1. 算法 支持RSA、DSA或ECDSA,但是你需要选择合适的算法
  2. 密钥长度 长度越长,则越安全
  3. 保护密码(可选)
1)生成RSA Key
openssl genrsa -aes128 -out shaozuo.key 2048

shaozuo.key文件中的内容,有固定的开头和结尾,使用Base64编码格式

-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: AES-128-CBC,A58EBD2BA301361A947DD0C703D99263

2HmGti8vmVGCIjayfpK7uAAyveCfp/ObRXF4f+EYn0lNY4TqBQ8AFJPS+YLK9SzL
wv23rhPt6uAQosFX7JW3FAfR7P+F3YdEnWD5UVrLJGHliaNDelgEr74Xl8EK4OWO
[.....]
R16TnMrCn8oq2p1KOvbgyyqpqCDi1hJrzDBKQTENVZmjiFgzsN5fvxl77FY+TMgX
ZZxas5BtUTCJY5/A7kXJfkSYak2rwE3sXzhXuDozSgbGUZ5MH1Vq/J4x3lSmYXQZ
-----END RSA PRIVATE KEY-----
2)查看生成RSA Key结构
openssl rsa -text -in shaozuo.key

使用该命令可以格式化显示key结构

Private-Key: (2048 bit)
modulus:
    00:b1:1b:ad:f3:aa:41:3c:46:2a:ed:8a:45:e3:ee:
	[.....]
publicExponent: 65537 (0x10001)
privateExponent:
    28:33:7c:3c:be:fc:a7:cd:d5:98:ad:b6:47:92:c3:
    [.....]
prime1:
    00:dd:c8:1b:04:31:b7:74:78:a4:ac:25:40:4e:eb:	
    [.....]
prime2:
    00:cc:6f:10:eb:97:b7:fc:c3:d5:f7:a7:d0:76:39:
    [.....]
exponent1:
    00:c1:22:b1:e4:45:27:6d:d6:62:11:47:9f:69:1a:
    [.....]
exponent2:
    7c:11:07:86:c2:eb:c0:f5:a4:bc:08:d7:25:78:75:
    [.....]
coefficient:
    6f:05:4f:fe:4f:dd:61:b3:ec:1f:0f:9e:30:2a:05:
    [.....]
writing RSA key
-----BEGIN RSA PRIVATE KEY-----
MIIEowIBAAKCAQEAsRut86pBPEYq7YpF4+7XUQLBI2+/smgJTNdHba/ub3dTwPj+
[.....]
jlysZvgazPd+ZpbjkGoQMAfdp12+29c9FXf7vruHgjJoSUXGr3fF
-----END RSA PRIVATE KEY-----
3)导出RSA Key公钥
openssl rsa -in shaozuo.key -pubout -out shaozuo-public.key

显示已Base64格式编码的公钥

-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAsRut86pBPEYq7YpF4+7X
UQLBI2+/smgJTNdHba/ub3dTwPj+40dt+RmxPlfdTAdm8vg3fegzEeg3FMRxireK
PrBOOupbIsZkhWNkhhgBUYM/WhyZlDBftkHuGmcx7KA/eg0E2HLs6qMq7r7c1n1n
ZaR3nxTedXvYiwXNlv8UblImz6OesTEJX12Zq+WsK3edeLgte1ubfhlY0SA8Go1U
ezHhd2YR8+X52J5orycb5JD/PL0+pG0Ii/FC9foTS8amIu3zTKbSBVsY/e3BEK/j
u9Aqud6Xp+cJab8axQ0cLZ5ZkqMjZYxrp+L+pskFz8/7UJf09iktZG1YXXtug+Zl
/QIDAQAB
-----END PUBLIC KEY-----
4)生成DSA Key

生成DSA Key 有两个步骤,第一个是生成DSA 参数,第二步是生成DSA Key。
先将参数保存到文件中,然后从文件中读取参数生成Key

openssl dsaparam -genkey 2048 >> dsa.param

cat dsa.param | openssl dsa -out dsa.key -aes128

也可以使用如下命令将两部联合到一行命令中,省去中间文件

openssl dsaparam -genkey 2048 | openssl dsa -out shaozuo-dsa.key -aes128
5)生成ECDSA Key

与生成DSA Key类似,只是使用的参数不同。当然ECDSA不能任意指定生成的Key大小,它使用
-name curve 进行控制:

openssl ecparam -genkey -name secp256r1 | openssl ec -out shaozuo-ec.key -aes128

其中curve是EC参数的简短名称,可用的名称可通过一下命名查询:

openssl ecparam -list_curves

这是部分结果

  secp112r1 : SECG/WTLS curve over a 112 bit prime field
  secp112r2 : SECG curve over a 112 bit prime field
  secp128r1 : SECG curve over a 128 bit prime field
  secp128r2 : SECG curve over a 128 bit prime field
  secp160k1 : SECG curve over a 160 bit prime field
  secp160r1 : SECG curve over a 160 bit prime field
  [......]

生成证书请求文件(Certificate Signing Request,CSR)

CSR是Certificate Signing Request的英文缩写,即证书请求文件,也就是证书申请者在申请数字证书时由CSP(加密服务提供者)在生成私钥的同时也生成证书请求文件,证书申请者只要把CSR文件提交给证书颁发机构后,证书颁发机构使用其根证书私钥签名就生成了证书公钥文件,也就是颁发给用户的证书。百度百科

1) 创建CSR文件

使用如下命令创建CSR文件,在这个过程中会通过交互的方式询问你的信息

openssl req -new -key shaozuo.key -out shaozuo.csr
2) 查看CSR文件内容
 openssl req -text -in shaozuo.csr -noout

命令的输出类似于:

Certificate Request:
    Data:
        Version: 0 (0x0)
        Subject: C=CN, ST=Beijing, L=Beijing, O=shaozuo, OU=shaozuo, CN=shaozuo/emailAddress=shaozuo@laozhai.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:b1:1b:ad:f3:aa:41:3c:46:2a:ed:8a:45:e3:ee:
                    [......]
                Exponent: 65537 (0x10001)
        Attributes:
            unstructuredName         :laozhai
            challengePassword        :laozhai
    Signature Algorithm: sha256WithRSAEncryption
         96:df:c3:bf:a3:d8:52:44:7f:57:ad:8e:ba:31:fe:d7:e2:ec:
         [......]
3) 使用配置文件生成CSR文件

将如下内容保存到一个文件中,比如laozhai.cnf

[req]
prompt = no
distinguished_name = sz 
## 你使用的key的密码
input_password = shaozuo
## = distinguished_name
[sz]
C=CN
ST=Beijing
L=Beijing
O=shaozuo
OU=shaozuo
CN=shaozuo
emailAddress=shaozuo@laozhai.com

使用如下命令,生成CSR文件

openssl req -new -config laozhai.cnf -key shaozuo.key -out laozhai.csr

查看生成的CSR文件,显示如下信息,查看命令看上文

Certificate Request:
    Data:
        Version: 0 (0x0)
        Subject: C=CN, ST=Beijing, L=Beijing, O=shaozuo, OU=shaozuo, CN=shaozuo/emailAddress=shaozuo@laozhai.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:b1:1b:ad:f3:aa:41:3c:46:2a:ed:8a:45:e3:ee:
                    [......]
                Exponent: 65537 (0x10001)
        Attributes:
            unstructuredName         :laozhai
            challengePassword        :laozhai
    Signature Algorithm: sha256WithRSAEncryption
         96:df:c3:bf:a3:d8:52:44:7f:57:ad:8e:ba:31:fe:d7:e2:ec:
         [......]

签名证书

如果你不想通过CA来签名你的证书(这是要花钱的),你也可以自己签名证书。

1) 自签名

使用如下命令签名证书:

openssl x509 -req -days 365 -in shaozuo.csr -signkey shaozuo.key -out shaozuo.crt

生成的证书类型crt,我们可以使用windows打开:
Alt textAlt text

如果你不想产生CSR文件,而是想直接产生证书,可以用如下命令

openssl req -new -x509 -days 365 -key shaozuo.key -out shaozuo.crt

如果不想使用交互的方式来产生证书,可以添加-subj参数

openssl req -new -x509 -days 365 -key shaozuo.key -out shaozuo.crt \
-subj "/C=CN/ST=Beijing/L=Beijing/O=shaozuo/CN=shaozuo"
2) 创建多主机证书

一般的证书只支持一个主机名,所以如果你有多个相关账号,你只能制作多张证书。在这种情况下,可以使用多域名证书。有两种机制来实现:

  1. 将所有的主机名存储在X.509的扩展字段 Subject Alternative Name (SAN)
  2. 使用通配符

首先将扩展信息写入一个文件,比如laozhai.ext

subjectAltName = DNS:*.laozhai.com, DNS:shaozuo.com

然后使用证书命令创建证书

openssl x509 -req -days 365 -in shaozuo.csr -signkey shaozuo.key -out shaozuo.crt -extfile laozhai.ext
3) 查看证书信息

使用如下命令查看证书信息

openssl x509 -text -in shaozuo.crt -noout

只列出扩展信息,其余信息就不列出了
Alt text

密钥和证书的转换

在之前的文章中,我们已经介绍过证书的格式。在这一节中,我们简单介绍一下如何使用OpenSSL转换格式

1) PEM 和 DER 的转换

证书转换使用x509命令

openssl x509 -in shaozuo.crt -out shaozuo.pem -outform PEM

pem -> der

openssl x509 -inform PEM -in shaozuo.pem -outform DER -out shaozuo.der

der -> pem

openssl x509 -inform DER -in shaozuo.der-outform PEM -out shaozuo.pem
2) 与PKCS#12 之间的转换

将key,Certificate转换为pkcs12格式,

 openssl pkcs12 -export -name "Shaozuo Certificate" -out shaozuo.p12 -inkey shaozuo.key -in shaozuo.crt

将pcks12转换为其他格式可以使用如下命令

openssl pkcs12 -in shaozuo.p12 -out shaozuo.pem -nodes

不过使用这个命令,会将所有信息都存在在shaozuo.pem文件中,需要你手动将证书、密钥等分离;也可以使用如下命令,只输出部分信息

openssl pkcs12 -in shaozuo.p12 -nocerts -out shaozuo.key -nodes
openssl pkcs12 -in shaouzo.p12 -nokeys -clcerts -out shaouzo.crt
3) 与PKCS#7之间的转换

使用如下命令

openssl crl2pkcs7 -nocrl -out shaozuo.p7b -certfile shaozuo.crt

参考资料

  1. OpenSSL 官网
  2. OpenSSL Windows版下载地址
    ##本系列其他文章
    密码技术学习系列文章
醉引花眠
关注
专栏目录
openssl技术原理和各平台解决方案
09-08
由于项目需求,网关需要和多个不同的平台进行tls加密通讯,在不同的开发平台使用tls方式是不同的,鄙人也爬过很多坑,查过很多资料,在安卓,记录了java,ios,c++各个平台的生成方式和使用方式,错误问题的解决。
openssh8.3 openssl1.1.1g在线升级脚本亲测centos6/7可用
09-09
openssh8.3 openssl1.1.1g升级 需能联网 centos6修改telnet相关命令即可
centos7升级openssl8.3
aldxy的博客
11-12 279
openssl 升级版本至8.3 先开启telnet防止升级失败 yum install xinetd telnet-server -y systemctl start telnet.socket systemctl start xinetd 升级openssl 安装依赖包 yum -y install gcc zlib-devel openssl-devel pam-devel 下载安装包地址: https://openbsd.hk/pub/OpenBSD/OpenSSH/portable/ 上传到
openssh8.3安装包资源.zip
06-08
CentOS离线安装Openssh8.3p1所依赖的安装包,其中包括openssh-8.3p1.tar.gz、openssl-1.1.1g.tar.gz、openssh-8.3p1.tar.gz.asc和zlib-1.2.11.tar.gz
使用openssl在命令行加密
weixin_30466953的博客
07-21 360
对于需要在应用软件中进行加密编程的开发者,通过命令行把基本的加密操作做一遍是很有意义的。openssl支持在命令行进行各种基本加密算法的操作。这些操作过程无需编程,其命令参数与程序函数调用加密的参数有着很好的直接对应关系。这些加密操作要素在各种不同的硬件、操作系统平台、加密软件库上是通用的。我们也可以直接在脚本程序中使用这些命令行的加密操作。由于无需编程,openssl自身又经过了较大范围、较长时...
openssl API 函数库
11-18
### OpenSSL API 函数库知识点详解 #### 一、基础知识 ...以上是对OpenSSL API函数库的一些基础概念和技术要点的详细介绍。通过对这些知识点的学习,开发者可以更好地理解和使用OpenSSL库来开发网络安全程序。
openssl源码分析
08-18
- **定义**: OpenSSL是一个强大的安全套接字层密码库,包含主要的密码算法、常用的密钥和证书管理工具及SSL/TLS协议的实现。 - **应用场景**: 广泛应用于服务器、客户端软件的安全通信,支持多种操作系统平台。 **...
openssl编程介绍
03-15
### OpenSSL编程介绍书知识点梳理 #### 一、基础知识 ...以上是《openssl编程介绍书》的部分内容梳理,涉及了OpenSSL的基本概念、核心组件及具体应用实例,为深入学习OpenSSL提供了宝贵的参考资料。
openssl编程帮助文档
04-19
**2.4 OpenSSL学习方法** - **官方文档**:阅读并理解官方文档。 - **实践操作**:通过编写简单的程序来熟悉各个API。 - **参与社区**:加入OpenSSL论坛或社区,与其他开发者交流经验。 #### 第三章:堆栈 **3.1 ...
openssl使用sm2算法
06-16
openssl使用sm2算法,其中带有openssl头文件及动态库,可直接编译运行。
openssl编程_使用OpenSSL库中的流密码算法
weixin_39526651的博客
12-06 149
密码是一种对称加密算法。与哈希函数一样,OpenSSL库中的流密码也具有一致的接口,使用起来也很简单。下面以RC4算法为例演示OpenSSL库中流密码的使用方法。温馨提示:由于本文包含程序代码,建议在PC端打开本文,获得更好阅读体验。#include #include #include void print_hex(unsigned char *str, int len...
OPENSSL基本实验以及OPENSSL详解
qq_56289291的博客
07-16 459
openssl
通达Git秘钥
jiancheng20121的博客
06-17 543
-----BEGIN RSA PRIVATE KEY----- Proc-Type: 4,ENCRYPTED DEK-Info: AES-128-CBC,1F1BD3B57503C27050A586C97C54D5C6 BauxM3pn0XtPoil+IgKhrykQnbOD3cbeClFuvcwwnRd2MQVfeCg1J5aZclm5Ka7N +8d9Ir+2utwz5Qx6xc0eJk7a56Uku1WQc67M2DzIbIAkntW4pBfdUj2xmAtaxSl9 6dy+Oh+cXZVQm6U
使用openssl命令行产生密钥对、签发证书[详细]
一切有为法,如梦亦如幻,如露亦如电,应作如是观。
08-30 8146
这个公钥内容的前半部分是什么呢?注意:以下操作命令均在openssl的bin目录内执行。
OpenSSL命令---ecparam
VitalityShow(网络通讯)
11-06 9976
椭圆曲线密钥参数生成及操作
使用openssl 生成RSA、SM2、ECC的P12证书的方法
weixin_39891030的博客
10-09 5262
使用openssl 生成RSA、SM2、ECC的P12证书的方法,使用keytool生成keystore证书
openssl-genras命令简单入门
hsulei的博客
01-12 4096
openssl之genras命令简单入门 今天熟悉一下openssl genras这个命令 命令说明首先查看openssl genrsa 命令后面能够添加的参数:usage: genrsa [args] [numbits] -des encrypt the generated key with DES in cbc mode -des3 encryp
compat-opensslopenssl
最新发布
08-01
`compat-openssl` 和 `openssl` 都是与 OpenSSL 库相关的软件包,但它们有不同的用途。 1. **compat-openssl**:这个通常是在旧版系统或者需要兼容特定版本的 OpenSSL 的环境中使用的。它可能是为了提供向后兼容,或者是为了支持一些过时的应用程序。compat-openssl 包含的是一个较老的 OpenSSL 版本,用于与那些依赖于特定版本库的应用配合使用,以避免版本冲突或不兼容问题。 2. **openssl**:这是标准的、最新版本的 OpenSSL 开源安全套接字层库。它提供了加密、解密、数字签名、SSL/TLS协议等功能,广泛应用于网络安全领域。它是系统或软件的标准选择,以获取最新的安全性更新和技术特性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值