OpenSSL生成密钥key详解

最新推荐文章于 2024-02-06 13:32:18 发布
最新推荐文章于 2024-02-06 13:32:18 发布
阅读量8.5k 收藏 24
点赞数 2
分类专栏: 信息安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lianyunyouyou/article/details/123646840
版权

前言

生成key很简单,一个命令就够了:

openssl genrsa -out fd.key 2048

提取public key

openssl rsa -in fd.key -pubout -out fd-public.key

key转换

openssl rsa -inform PEM -in fd.pem -outform DER -out fd.der
openssl rsa -inform DER -in fd.der -outform PEM -out fd.pem

以上,就这样简单。

如果你对上面的概念或者方法有疑问,例如PEM、DER是啥,key里面有啥,key能不能加密等等,那你继续往下看。

概念

在生成Key之前,你需要了解公钥、私钥的概念。

在非对称加密技术中,有两种密钥,分为私钥和公钥,私钥是密钥对所有者持有,不可公布,公钥是密钥对持有者公布给他人的。

  • 公钥:公钥用来给数据加密,用公钥加密的数据只能使用私钥解密
  • 私钥:如上,用来解密公钥加密的数据。

另外,还有两个缩写也要了解DER和PEM

  • DER的缩写是Distinguished Encoding Rules,以二进制形式存储Key
  • PEM的缩写是Privacy Enhanced Mail,以文本形式存储的Key,其实是DER Key的Base64形式

生成KEY

Key算法

OpenSSL支持RSA、DSA和ECDSA key,但不是所有的算法都可以适用所有场合。例如对于SSL Key,大家都用RSA,因为DSA Key实际上被限制为1024 bit,另外的ECDSA Key也还未被CA支持。

Key size

默认情况下的key长度可能不安全,这需要你在生成key的时候指定key长度,例如RSA 512 bit的key是不安全的。

Passphrase

OpenSSL有个对生成Key加密的选项,用它可以更有效地保护生成的key。但是,如果用了这个选项,需要每次在使用这个key的时候输入密码,这会带来一些不便。

生成RSA Key

openssl genrsa -out fd.key 2048
Generating RSA private key, 2048 bit long modulus (2 primes)
.............................+++++
......................+++++
e is 65537 (0x010001)

fd.key里面是啥内容呢?

 cat fd.key
-----BEGIN RSA PRIVATE KEY-----
MIIEowIBAAKCAQEAqQEHRekC6Kew2NUBlce1BE4QucndOhxvqPnkJcMTDNacuMub
kDex9sZXUPZGyH8xQLZQ+zJf51LY0wpCPcNonsme22LGjOlckPjsqUiWtx+kfFYO
[...]
-----END RSA PRIVATE KEY-----

这是一串ASCII文本内容,方便人阅读的内容,这就是PEM格式的Private Key。

其实这个key内容并非一些随机数字,它是由某种结构组成的。

openssl rsa -text -in fd.key
RSA Private-Key: (2048 bit, 2 primes)
modulus:
    00:a9:01:07:45:e9:02:e8:a7:b0:d8:d5:01:95:c7:
    [...]
publicExponent: 65537 (0x10001)
privateExponent:
    44:51:ab:1c:02:c6:ef:40:22:c8:74:cb:30:3e:4c:
    [...]
prime1:
    00:d0:3c:db:3e:07:da:3f:49:2a:cd:7c:30:42:2b:
    [...]
prime2:
    00:cf:c4:7a:33:80:8b:d9:22:3f:fc:78:f5:2c:cc:
    [...]
exponent1:
    2c:cc:5a:d2:3e:78:3a:53:30:4d:22:a1:73:2a:e8:
    [...]
exponent2:
    7c:c0:75:bb:ac:e8:cb:d4:e3:e4:bd:e0:41:29:23:
    [...]
coefficient:
    00:a7:ac:3d:19:c4:76:8a:e3:65:ba:b1:16:2b:92:
    [...]
writing RSA key
-----BEGIN RSA PRIVATE KEY-----
MIIEowIBAAKCAQEAqQEHRekC6Kew2NUBlce1BE4QucndOhxvqPnkJcMTDNacuMub
[...]
-----END RSA PRIVATE KEY-----

从Private Key生成Public Key

openssl rsa -in fd.key -pubout -out fd-public.key
writing RSA key

打开里面看看有什么

cat fd-public.key
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAqQEHRekC6Kew2NUBlce1
BE4QucndOhxvqPnkJcMTDNacuMubkDex9sZXUPZGyH8xQLZQ+zJf51LY0wpCPcNo
[...]
-----END PUBLIC KEY-----

很明显这也是PEM格式的key,Public key比Private key短很多。

对Key加密

上面提到了Passphrase,接下来看看是怎么用的。

openssl genrsa -aes128 -out fd.key 2048

上面的命令行,多加了一个选项-aes128,意思是将生成的key用aes128加密。那么接下来需要你输入加密的密码:

 openssl genrsa -aes128 -out fds.key 2048
Generating RSA private key, 2048 bit long modulus (2 primes)
.....................................................+++++
...........................+++++
e is 65537 (0x010001)
Enter pass phrase for fds.key:
Verifying - Enter pass phrase for fds.key:

打开看看,它跟不加密的是不一样的:

cat fds.key
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: AES-128-CBC,717B518BBF2C5D31783232C9D89D6512

FBlKXpxNxpuEBUAm/ZcBJpVy5AoPuBBPVeh6kIxX+J5H/T/zORfgSVGnNAz8wIQR
[...]

后续用到这个key,都要输入密码,例如key转换。

openssl rsa -in fds.key -pubout -out fds-public.key
Enter pass phrase for fd.key:

不过有种偷懒的方法,即把密码写在命令行参数上,即用到-passout参数。

openssl genrsa -aes128 -passout pass:123456 -out fds.key 2048

生成公钥,需要用到passin参数

openssl rsa -in fds.key -passin pass:123456 -pubout -out fds-public.key

私钥转非加密

openssl rsa -in fds.key -passin pass:123456 -out fd.key

私钥转加密

openssl rsa -in fd.key -aes128 -passout pass:123456 -out fds.key

Key和证书转换

Private key和证书(certificates)可以以多种格式存储,在实际使用中,你会将会遇到需要将某种格式的Key转换成另外一种。在转换前,先了解下几个格式的特点:

Binary (DER) certificate
原始格式中包含一个X.509 certificate,使用的是DER ASN.1编码。

ASCII (PEM) certificate(s)
包含 base64 编码的 DER 证书,通过 -----BEGIN CERTIFICATE----------END CERTIFICATE----- 将内容包括起来。 通常每个文件只有一个证书,但有些程序根据上下文允许多个证书。

Binary (DER) key
包含一个用DER ASN.1格式编码的Private Key,OpenSSL一般通过其传统的SSLeay格式创建Key,当然也有叫PKCS#8 (在RFC 5208里面有定义)的格式,但是不常用。

ASCII (PEM) key
包含带有附加元数据的 base64 编码的 DER 证书(例如,用于密码保护的算法)。

PKCS#7 certificate(s)
一种设计用于传输签名或加密数据的复杂格式,在 RFC 2315 中定义。

PKCS#12 (PFX) key and certificate(s)
一种复杂的格式,可以将受保护的服务器密钥与相应的证书以及中间证书一起存储。 它常见于 .p12.pfx 扩展名。

PEM and DER Conversion

PEM 和 DER 格式之间的证书转换是使用 x509 工具执行的。

将证书从 PEM 转换为 DER 格式:

openssl x509 -inform PEM -in fd.pem -outform DER -out fd.der

将证书从 DER 转换为 PEM 格式:

openssl x509 -inform DER -in fd.der -outform PEM -out fd.pem

如果需要在 DER 和 PEM 格式之间转换私钥,语法是相同的,但使用不同的命令:rsa 用于 RSA 密钥,dsa 用于 DSA 密钥。

例如RSA Key转换:

openssl rsa -inform PEM -in fd.pem -outform DER -out fd.der
openssl rsa -inform DER -in fd.der -outform PEM -out fd.pem

PKCS#12 (PFX) Conversion

只需一条命令即可将 PEM 格式的密钥和证书转换为 PKCS#12:

openssl pkcs12 -export -out fd.p12 -inkey fd.key -in fd.crt -certfile fd-chain.crt

PKCS#7 Conversion

从 PEM 转换为 PKCS#7,使用 crl2pkcs7 命令:

openssl crl2pkcs7 -nocrl -out fd.p7b -certfile fd.crt -certfile fd-chain.crt

将 PKCS#7 转换为 PEM,使用带有 -print_certs 开关的 pkcs7 命令:

openssl pkcs7 -in fd.p7b -print_certs -out fd.pem

在这里插入图片描述

嵌入式软件实战派
关注
  • 2
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OpenSSL工具生成RSA密钥1
08-08
1.安装OpenSSL(Win32) 0.9.8l解压压缩包, 双击exe文件:选择安装路径:选择工具安装位置:安装中:安装完成:2.生成RSA密钥进入Open
openssl加密生成key文件
02-23
https://blog.csdn.net/qqq1112345/article/details/123082647 文章代码生成key文件。
2024-02-06 Buildroot Linux系统中通过/etc/shadow文件更改root默认密码和密码过期时间,使用openssl生成md5算法的加密密码
最新发布
海月汐辰
02-06 351
1$表示使用MD5算法加密过的。
使用openssl命令行产生密钥对、签发证书[详细]
一切有为法,如梦亦如幻,如露亦如电,应作如是观。
08-30 7265
这个公钥内容的前半部分是什么呢?注意:以下操作命令均在openssl的bin目录内执行。
openssl密钥生成工具
12-26
openssl密钥生成工具,用于生成公钥私钥
openssl 密钥生成工具
09-10
RSA密钥生成与使用 openssl密钥生成工具。内附使用方法
ssh-keygen生成git ssh密钥
热门推荐
二师兄
02-07 6万+
SSH是建立在应用层和传输层基础上的安全协议,其目的是专为远程登录会话和其他网络服务提供安全性的保障,用过SSH远程登录的人都比较熟悉,可以认为SSH是一种安全的Shell。SSH登录是需要用户名和密码的,要实现无密码登录,就需要创建SSH 密钥(ssh key),SSH 密钥可以认为是和另一台电脑通信时的唯一的识别证,SSH 密钥对可以让我们方便的登录到 SSH 服务器,而无需输入密码。GIT源
openssl自己生成key私钥、crt证书】
qq_44637753的博客
04-13 5727
本文改编自openssl官网openssl食谱 Nginx添加ssl模块:https://blog.csdn.net/qq_44637753/article/details/124141722?spm=1001.2014.3001.5501 openssl生成crt、key一、密钥和证书管理二、生成私钥1.生成 RSA 密钥,使用以下 genpkey 命令:2.使用rsa命令查看密钥的结构:三、创建证书签名请求1.创建新证书签名请求(CSR):2.从现有证书创建(CSR):3.无人值守的 CSR 生成:四、
关于openssl 的几个key生成方式
老鹰不捉小鸡
08-13 2641
生成一个1024位的私钥文件rsa_private_key.pem : openssl genrsa -out rsa_private_key.pem 1024 从私钥中提取公钥rsa_public_key.pem: openssl rsa -in rsa_private_key.pem -out rsa_public_key.pem -outform PEM -pubout 将私钥转换成...
如何使用OpenSSL生成私钥与证书
LMR1314的博客
06-28 2372
上述命令将生成一个名为 "csr.csr" 的证书签名请求文件,其中包含了与私钥相对应的公钥以及其他证书请求相关的信息。如果需要获得由受信任的证书颁发机构(CA)签名的证书,需要将证书签名请求文件(CSR)提交给 CA,并按照他们的指示进行后续操作。2. 使用包管理器安装 OpenSSL:Red Hat Linux 使用的包管理器是 `yum`,通过该工具可以方便地安装软件包。上述命令将使用私钥对证书签名请求进行签名,并生成一个名为 "certificate.crt" 的自签名证书文件。
linux重新生成key,linux下生成key
weixin_42099906的博客
05-14 1477
使用public/private key让putty(ssh)自动登录(以及linux上使用密钥做ssh自动登陆)方法一:使用puttygen.exe第一步:生成密匙运行puttygen.exe,选择需要的密匙类型和长度,使用默认的SSH2(RSA),长度设置为1024就可以了。passphrase可以为空,免得登录时还是要输入一次密码。点击Save private key 按钮保存公匙和私匙,例...
Hmailserver配置openSSL生成密钥公钥Win64OpenSSL+DKIM
12-14
Hmailserver配置openSSL生成密钥公钥Win64OpenSSL+DKIM,文件内容有Win64OpenSSL_Light-1_1_1w,GenDKIM.bat,GenDKIMtxt.exe,makeHMScert.bat,先安装Win64OpenSSL_Light-1_1_1w,然后进入安装目录的bin目录下,将DKIM文件放入bin目录下,用管理员身份打开CMD,进入安装目录的bin目录,CMD里录入openssl.exe genrsa -out rsa.private 1024 生成私钥文件,执行openssl.exe rsa -in rsa.private -out rsa.public -pubout -outform PEM 生成公钥文件。 希望可以帮到你
openssl 密钥生成和解析
JF223355的博客
12-12 2053
ANS.1编码规则 openssl的数据编码规则是基于ans.1: ASN.1(=Abstract Syntax Notation One),是一种结构化的描述语言,包括两部分,数据描述语言和数据编码规则。 数据描述语言标准:语言标准允许用户自定义的基本数据类型,并可以通过简单的数据类型组成更复杂的数据类型。 数据编码规则:这些编码方法规定了将数字对象转换成应用程序能够处理、保存、传输的二...
Android keyStore系统存储的RSA密钥,加解密处理
qunimaode的博客
10-27 1728
Android keyStore系统存储的RSA密钥,加解密处理 Android有keysrore可以存储密钥,RSA密钥对中,公钥可以取出,私钥不能取出只能使用。本文只看23就是6.0及以上。 生产密钥生成密钥的参数。 spec = new KeyGenParameterSpec.Builder(mAlias, KeyProperties.PURPOSE_SIGN | KeyProperties.PURPOSE_ENCRYPT
使用openssl对文件进行aes加密
guolisong的专栏
11-15 3800
c/c++调用ssl库,对文件加密,再解密后,解密后的文件尾部会出现乱码。原因在于加密的时候没有补0
openssl生成秘钥对进行加密解密验签
weixin_57999977的博客
07-20 2493
openssl加密解密验签
openssl常用命令 genpkey
杨小熊学习笔记
06-14 2048
openssl genpkey genpkey用于生成一个私钥。 命令格式: openssl genpkey [options] openssl genpkey [-help] [-out filename] [-outform PEM|DER] [-pass arg] [-cipher] [-engine id] [-paramfile file] [-algorithm alg] [-pkeyopt opt:value] [-genparam] [-text] openssl genpkey 官方文档
git生成秘钥
qq_42954332的博客
04-18 3995
生成git秘钥 1.设置账号和邮箱 git config --global user.name “自已的名字” 例:git config --global user.name “zhangsan” git config --global user.email “自己的邮箱” 例:git config --global user.email “[email protected]” 2.查看秘钥是否存在 cd ~/.ssh 3.生成秘钥 ssh-keygen -t rsa -C “zhangsan@q
利用openssl库,C语言实现AES加密
buhuidage的博客
02-24 3574
利用openssl库,C语言实现AES加密
openssl生成密钥对的方法
05-14
可以使用 OpenSSL 工具生成密钥对。以下是生成 RSA 密钥对的步骤: 1. 打开终端或命令提示符窗口。 2. 输入以下命令来生成私钥: ``` openssl genrsa -out private_key.pem 2048 ``` 这将生成一个 2048 位的 RSA 密钥,并将其保存到名为 private_key.pem 的文件中。 3. 使用以下命令来生成公钥: ``` openssl rsa -in private_key.pem -out public_key.pem -pubout ``` 这将从私钥文件中提取公钥,并将其保存到名为 public_key.pem 的文件中。 现在你已经生成了一个 RSA 密钥对,可以将其用于加密、签名等操作。请注意,私钥文件应该保密保存,而公钥文件可以公开分享。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值