使用OpenSSL工具制作X.509证书的方法及其注意事项总结

最新推荐文章于 2024-03-20 20:03:31 发布
VIP文章 最新推荐文章于 2024-03-20 20:03:31 发布
阅读量2.9w 收藏 46
点赞数 15
分类专栏: 安全技术与实践 文章标签: openssl CA X.509
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/howeverpf/article/details/21622545
版权

如何使用OpenSSL工具生成根证书与应用证书

本文由CSDN-蚍蜉撼青松 【主页:http://blog.csdn.net/howeverpf】原创,转载请注明出处!

 

零、写在前面

       最近出于工作需要,倒腾了一下如何生成X.509证书。在此过程中遇到一些问题,也查过网上很多资料,磕磕碰碰,总算按照既定要求达到了目标。因为感觉网上的资料太散,查找起来不很方便,所以在这里做一个总结。

       主要的参考信息来源是以下三个:

  • 《OpenSSL编程》(赵春平 著)【一本难得的中文资料,未出版】
  • OpenSSL官方文档---OpenSSL命令》(英文),几乎可以找到所有问题的答案和原因,但是由于很多时候不知道问题出在哪里,所以还是需要另外查资料
  • 互动百科---SSL》,说明了证书中各DN字段的含义

        一些前辈的博文,也对我快速定位问题提供了很大的帮助,在此表示感谢!并列举如下:

 

一、步骤简记

       以生成一个二级证书链为例,将会用到以下命令:

// 生成顶级CA的公钥证书和私钥文件,有效期10年(RSA 1024bits,默认)
openssl req -new -x509 -days 3650 -keyout CARoot.key -out CARoot.crt 
// 为顶级CA的私钥文件去除保护口令
openssl rsa -in CARoot.key -out CARoot.key

// 生成顶级CA的公钥证书和私钥文件,有效期15年(RSA 2048bits,指定)
openssl req -newkey rsa:2048 -x509 -days 5480 -keyout CARoot.key -out CARoot.crt
// 为顶级CA的私钥文件去除保护口令
openssl rsa -in CARoot.key -out CARoot.key

// 为应用证书/中级证书生成私钥文件
openssl genrsa -out app.key 2048
// 根据私钥文件,为应用证书/中级证书生成 csr 文件(证书请求文件)
openssl req -new -key app.key -out app.csr
// 使用CA的公私钥文件给 csr 文件签名,生成应用证书,有效期5年
openssl ca -in app.csr -out app.crt -cert CARoot.crt -keyfile CARoot.key -days 1826 -policy policy_anything
// 使用CA的公私钥文件给 csr 文件签名,生成中级证书,有效期5年
openssl ca -extensions v3_ca -in app.csr -out app.crt -cert CARoot.crt -keyfile CARoot.key -days 1826 -policy policy_anything

       根据生成目标不同,以上命令可以分为三组。其中,前面两组都用于生成自签名的顶级CA(区别只在于密钥长度不同),实际应用中只需根据需求选择一组即可。

       最后一组用于生成非自签名的证书,包括中级证书与应用证书。所谓中级证书,是具有继续颁发下级证书权限的子CA,而本文中所说的应用证书,特指不能用来继续颁发下级证书,只能用来证明个体身份的证书。顶级CA在签发二者的时候,只是多少一个 -extensions v3_ca 选项的区别,这个选项赋予被签发的证书继续签发下级证书的权力。【详参2.5[3]小节相关介绍】

二、各步详解

2.1 生成自签名根证书(即顶级CA)

典型示例:openssl req -new -x509 -days 5480 -keyout CA.key -out CA.crt

[1] 命令选项和参数解读

       示例中,各选项(及参数)的意义如下:

req              //使用openssl的req子命令
-new             //生成新的证书请求
-x509            //生成自签名证书
-days 5480       //自签名证书的有效期5480天(15年)【仅当使用了 -x509 选项后有效】
-keyout CA.key   //私钥文件名指定为CA.key【此选项的一般作用是新生成文件命名;但若同时使用了-key选项,则此选项用于原私钥文件的更名】
-out CA.crt      //指定输出所生成自签名证书的信息到文件,且文件名为CA.crt【建议不要省略】

       其中,-days,-keyout 两个选项可以省

最低0.47元/天 解锁文章
Ping_Fani07
关注
  • 15
    点赞
  • 46
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
x509test:X.509证书测试套件
05-07
X.509测试 该项目通过提供测试证书和自动化功能来帮助测试X.509 PKIX(RFC5280)实现。 该项目的原始想法是遍历的文本,并创建一个与RFC中每个MUST或SHOULD子句相对应的无效测试证书。 这些无效的证书然后由伪造的CA签名,并可以馈送到各种TLS实现中以查看它们是否被接受。 先决条件 该项目依赖于PATH中提供的以下工具: 开源项目中的ascii2der和der2ascii工具 openssl二进制文件。 手术 该项目是从顶层构建的,主check目标将在其中: 为伪造的CA创建一个私钥( ca/fake-ca.private.pem ),并构建一个相应的CA证书(在ca/fake-ca.cert )。 为每个测试用例构建完整的证书(在tbs/*.tbs ),并由伪造的CA签名(在certs/或certs2/ )。 通过各种不同的TLS实现运行每个证书,并保存
openssl-1.1.1p.tar.gz
06-23
openssl-1.1.1p
使用openssl签发X.509证书的基本操作
smmi的专栏
05-07 402
准备环境 在windows下操作: 1、查看openssl.cnf中dir变量的路径(../demoCA),在该路径下创建private文件夹、index.txt; 2、创建serial文件,用记事本打开它,写入01保存; 3、打开cmd,进入openssl的bin目录下,执行以下命令;   生成根证书 openssl req -new -x509 -keyout ../demoCA...
使用OpenSSL创建自签名数字证书链例子2
最新发布
weixin_42938827的博客
03-20 316
最近做一个项目,需要用到自签名数字证书链。于是就研究了一下自签名数字证书链实现,把相关的OpenSSL命令放在下面供大家查询。这篇文章中证书采用的是ECDSA算法,如果要使用其它算法,如RSA算法,只需要将-newkey后面的参数ec:
openssl-1.1.1a.tar.gz
12-15
文件:openssl-1.1.1a.tar.gz 格式:*.tar.gz 来源:下载自官网 www.openssl.org 说明:于2018年12月下载,是当时的最新版、最高版 使用方法(亲测留档):以下为Ubuntu16.04.5上亲测,卸载并安装新版openssl # sudo tar -xzf openssl-1.1.1a.tar.gz //解压 # sudo apt-get remove openssl //卸载旧版,卸载后目录"/usr/lib/ssl"消失 # openssl version -a //卸载后检查,返回找不到 # cd openssl-1.1.1a //进入解压目录 # sudo ./config shared //配置;shared 表示生成动态库;生成2个文件:configdata.pm和Makefile # make //编译,会新增11个文件(含2个软链接文件) # make install //安装 # openssl version -a //检查是否可用,但失败 # echo "/usr/local/lib" >> /etc/ld.so.conf //新增动态链接库 # ldconfig //重新调用,或者重启系统 # openssl version -a //圆满了,看到版本号和路径 # reboot //重启
使用openssl 生成免费证书方法步骤
01-10
一:什么是openssl? 它的作用是?应用场景是什么? 即百度百科说:openssl是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,它可以避免信息被窃听到。 SSL是Secure Sockets Layer(安全套接层协议)的缩写,可以在Internet上提供秘密性传输。Netscape(网景)公司在推出第一个Web浏览器的同时,提出了SSL协议标准。其目标是保证两个应用间通信的保密性和可靠性,可在服务器端和用户端同时实现支持。 因为在网络传输的过程中,网络的数据肯定要经过wifi路由器对吧,那么我们通过路由器做些手脚我们就可以拿到数据,因此openssl的作用就是避免信息
OpensslX509系列
05-03
X509是系列的函数在我们开发与PKI相关的应用的时候我们都会用到,但是OpenSSL中对X509的描述并不是很多。初学者可能对openssl实现X509证书不太了解,文档可以帮助大家尽快上手。
使用OpenSSL转换X509 PEM与PFX证书
chris的专栏
09-08 9934
X509转PFX: openssl pkcs12 -export -inkey test.key -in test.cer -out test.pfx PFX转X509openssl pkcs12 -in test.pfx -nodes -out test.pem  openssl rsa -in test..pem -out test.key openssl x509 -in te
openssl 命令(3): openssl x509命令详解
热门推荐
花括号的博客
09-14 2万+
openssl x509命令具以下的一些功能,例如输出证书信息,签署证书请求文件、生成自签名证书、转换证书格式等。openssl x509工具不会使用openssl配置文件中的设定,而是完全需要自行设定或者使用该伪命令的默认值,它就像是一个完整的小型的CA工具箱。 主要选项: -in filename          : #指定证书输入文件,若同时指定了"-req"选项,则表示输入文件为证书请...
OpenSSL解析X509证书
芒果黑的博客
09-12 3345
前言 网上搜索出来的OpenSSL解析证书很多都是命令行工具的操作,还有一些C++实现的,用的版本的比较老,很多接口都变了。整理了基于OpenSSL1.11版本解析X509证书的实现。 接口 参照QSslCertificate接口,基于标准C++实现类似的接口,不依赖Qt,支持RSA和SM2证书信息解析,解析PFX、P7B证书、解析证书链、验证书等 具体接口如下: #ifndef X509CERTIFICATE_H #define X509CERTIFICATE_H #include <
php-cert-parser:简单的基于OpenSSL的X​​.509证书解析器
05-11
介绍 该库使您可以解析X.509证书,以便能够从中提取一些属性并计算指纹。 原料药 例如,要从文件加载的证书中获取证书的到期日期,请执行以下操作: <?php use fkooman\X509\CertParser; $certParser = CertParser::fromPemFile('certificate.crt'); echo date('r', $cp->getNotValidAfter()) . PHP_EOL; 所有API调用: public static function fromEncodedDer($encodedDerCert) public static function fromEncodedDerFile($filePath) public static function fromPem($pemCert) public static functio
openssl证书签发流程详解
魏志标的博客
06-13 3513
openssl 是目前最流行的 SSL 密码库工具,其提供了一个通用、健壮、功能完备的工具套件,用以支持SSL/TLS 协议的实现。构成部分密码算法库密钥和证书封装管理功能SSL通信API接口用途建立 RSA、DH、DSA key 参数建立 X.509 证书证书签名请求(CSR)和CRLs(证书回收列表)计算消息摘要使用各种 Cipher加密/解密SSL/TLS 客户端以及服务器的测试处理S/MIME 或者加密邮件数字证书标准X.509版本号。
X.509数字证书
觅食小鱼的博客
08-23 1960
本文介绍X.509证书的结构和字段,并介绍了openssl软件生成根证书和颁发证书的步骤和指令。
linux 查看证书有效期,在linux上验证X.509证书
weixin_35509395的博客
05-15 965
正如其他人提到的,您可以使用openssl验证.根据documentation,它还检查有效期.从程序上来说,它可能意味着数小时搜索有点不好(或缺少)的文档,在整个网络上阅读代码示例,并且可能令人头疼.要正确验证证书,您需要通知所有中间证书.通常您也会通知撤销列表(CRL),但这不是必需的.那么,这就是你需要做的代码(OpenSSL):> X509_STORE_new – 创建证书存储区;...
openssl命令x509证书操作详解
N阶二进制的博客
11-03 3683
OpenSSL 是一个开源的加密和解密工具,它提供了一系列命令来操作证书和密钥。以下是一些常用的 OpenSSL 命令,用于操作证书的详细解释:生成自签名证书是指在没有经过任何第三方证书颁发机构(CA,Certificate Authority)的认证下,由个人或组织自行创建和签名的数字证书。自签名证书可以用于安全通信,但在实际应用中,它们通常用于测试、开发和内部使用,而不是在公共网络中使用,因为它们没有受到可信任 CA 的验证,可能会引发安全问题。在使用自签名证书时,虽然可以加密通信,但客户端在连接时通常
使用openSSL生成SSL测试证书
u011932188的博客
02-18 780
https协议需要使用ssl证书,所以借助OpenSsl自签应该ssl证书 文章目录背景创建ssl证书1、创建密钥2、生成CSR(证书签名请求)3、删除密钥中的密码4、生成自签名证书5、生成pem格式的公钥 背景 http在公网传输的时候,都是明文的,因此考虑加个ssl证书。 创建ssl证书 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 1、创建密钥 使用openssl工具生成一个RSA私钥 openssl genrsa -des3 -out server
走读OpenSSL代码----从一张奇怪的证书说起(九)
weixin_30909575的博客
08-30 179
真相已经不远了。 首先我们查看函数 d2i_X509, 前已述及,该函数将 ASN1 格式(DER 编码)的 X509 证书内容转换为内部数据格式(X509 结构),其定义如下X509 *d2i_X509(X509 **a, const unsigned char **in, long len) { return (X509 *)ASN1_item_d2i((ASN1_VALUE **)a...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值