使用openssl制作证书和进行CMS格式数字签名

最新推荐文章于 2024-09-01 07:31:07 发布
最新推荐文章于 2024-09-01 07:31:07 发布
阅读量3.4k 收藏 3
点赞数 1
分类专栏: 安全和签名
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_17585545/article/details/114859305
版权

openssl中有如下后缀名的文件
.key格式:私有的密钥
.csr格式:证书签名请求(证书请求文件),含有公钥信息,certificate signing request的缩写
.crt格式:证书文件,certificate的缩写
.crl格式:证书吊销列表,Certificate Revocation List的缩写
.pem格式:用于导出,导入证书时候的证书的格式,有证书开头,结尾的格式
 
OpenSSL实现了PKCS7,为什么还要实现CMS?
PKCS7和CMS看起来一样,CMS基于PKCS7,还基于一个Privacy-Enhanced Mail的标准, 因此CMS也可解析PKCS7签名
区别是:PKCS#7不支持递归嵌套, CMS支持,CMS还有增加了其它一些东西

1.数字签名
非对称加密算法的效率是非常低的。
将内容使用hash函数生成摘要,再用私钥对摘要进行加密,生成数字签名。然后将内容附上数字签名一同传输。
收件方收到后,用公钥对数字签名进行解密,得到摘要,然后再对原内容进行hash生成摘要,比对这两个摘要是否相同,相同则说明内容没有被篡改。

2.数字证书
由CA颁发给网站的身份证书,里面包含了该网站的公钥,有效时间,网站的地址,CA的数字签名等。
所谓的CA数字签名,实际上就是使用了CA的私钥将网站的公钥等信息进行了签名,当客户端请求服务器的时候,网站会把证书发给客户端,客户端首先可以通过CA的数字签名校验CA的身份,也能证明证书的真实完整性。客户端有没有可能到一个假冒的CA去校验数字证书呢?不太可能,因为CA的地址是内嵌在浏览器中的,很难被篡改。

---------------------------------------------------------------

1. 创建根证书,rootca.pem为根证书
vi rootca.cnf
[ req ]
default_bits = 4096
distinguished_name = req_distinguished_name
prompt = no
string_mask = utf8only
x509_extensions = extensions
 
[ req_distinguished_name ]
C = CN
O = Test
CN = RootCA
 
[ extensions ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always, issuer
basicConstraints = CA:TRUE
keyUsage = cRLSign, keyCertSign

echo unique_subject=no > index.attr
openssl req -new -nodes -utf8 -sha256 -days 36500 -batch -x509 -config rootca.cnf -outform PEM -out rootca.pem -keyout rootca_pri.pem
openssl x509 -in rootca.pem -inform pem -outform der -out rootca.der

2. 颁发二级证书(公钥证书),signcert.pem为公钥证书
vi signcert.cnf
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
prompt = no
string_mask = utf8only
x509_extensions = extensions
 
[ req_distinguished_name ]
C = CN
O = Test
CN = Signing Certificate
 
[ extensions ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid, issuer
basicConstraints = CA:FALSE
keyUsage = critical, nonRepudiation, digitalSignature
extendedKeyUsage = codeSigning

openssl genrsa -out signcert_pri.pem 2048
openssl req -new -config signcert.cnf -out signcert.csr -key signcert_pri.pem
openssl x509 -req -in signcert.csr -CA rootca.pem -CAkey rootca_pri.pem -CAcreateserial -out signcert.pem -days 3650 -extensions extensions -extfile signcert.cnf
openssl x509 -in signcert.pem -inform pem -outform der -out signcert.der


3. 创建CMS签名。
使用私钥证书signcert.pem和私钥signcert_pri.pem创建CMS格式签名。source.txt为签名前原始文件,signed_source.txt为签名后文件(signed_source.txt即为创建的CMS签名)
openssl cms -sign -in source.txt -inkey signcert_pri.pem -signer signcert.pem -out signed_source.txt -outform PEM -nodetach


 

182422883
关注
专栏目录
数字证书制作格式转换
生活在别处
09-06 2万+
一、 附录、参考链接
二十五、OpenSSL
jysf98746的博客
02-22 98
TLS 的整个认证还是比较复杂的,OpenSSL 帮我们封装了很多内置算法,即便这样这个过程下来流程还是比较多,需要我们抽丝剥茧慢慢了解。各个服务都需要双向认证,所以每个服务都需要有自己的证书证书是需要向 CA 申请的,所以我们要先制作 CA 根证书。依然是生成自己的私钥,证书请求CSR文件,后面生成最终的证书需要借助上面的 CA 私钥 和 CA 根证书。生成证书的时候都需要借助 CA ,CA用自己的私钥签名生成证书,把公钥开放出去,供验证者使用。这边一个组件的双向证书都生成了,其它组件就不一一举例。
openssl生成证书
12-27
使用openssl生成证书,有详细的步骤说明,亲测可用。还有一些关于证书的一些常用转换操作介绍
使用 OpenSSL 创建自签名证书
最新发布
qq_44912603的博客
09-01 1295
ssl
使用 openssl 生成证书
weixin_34075551的博客
09-17 4559
一、openssl 简介 openssl 是目前最流行的 SSL 密码库工具,其提供了一个通用、健壮、功能完备的工具套件,用以支持SSL/TLS 协议的实现。官网:https://www.openssl.org/source/ 构成部分 密码算法库 密钥和证书封装管理功能 SSL通信API接口 用途 建立 RSA、DH、DSA key 参数 建立...
Openssl CMS/P7S数字签名校验
Raygo的博客
03-27 2460
使用OpenSsl进行CMS/p7s数字签名校验,包括命令行和代码实现
openssl制作证书
zqj1172102457的博客
04-20 261
搭建制作证书的环境 新建一个证书制作的测试目录,比如mycerts 从系统中的openssl安装目录的证书制作配置文件openssl.cnf(比如/etc/ssl/openssl.cnf)拷贝到测试目录中 创建demoCA目录,demoCA相当于是一个完整的CA机构,有一个数据库,管理各种证书文件信息 /home/mycerts # mkdir demoCA 创建demoCA/newce...
Openssl命令制作证书
u012151242的博客
04-08 290
1.生成私钥openssl genrsa -out rsa_private.key 10242.使用私钥生成公钥openssl rsa -in rsa_private.key -pubout -out rsa_public.key3.生成自签名证书openssl req -new -x509 -days 365 -key rsa_private.key -out cert.cer -subj "/...
openssl cms
08-15
- *3* [使用openssl制作证书进行CMS格式数字签名](https://blog.csdn.net/qq_17585545/article/details/114859305)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...
openssl CMS
08-15
- *1* [使用openssl制作证书进行CMS格式数字签名](https://blog.csdn.net/qq_17585545/article/details/114859305)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...
建立私有CA实现证书申请颁发
你是遥远的星河
02-04 2852
CA和证书 PKI:Public Key Infrastructure 公共密钥加密体系 签证机构:CA(Certificate Authority) 注册机构:RA 证书吊销列表:CRL 证书存取库: X.509:定义了证书的结构以及认证协议标准 版本号 序列号 签名算法 颁发者 有效期限 主体名称 证书类型: 证书授权机构的证书 服务器证书 用户证书 获取证书两种方法: 自签名的...
基于 CMS 数字签名的 Ticket-based SSO
sharemyfree的专栏
03-02 2358
 http://www.ibm.com/developerworks/cn/java/j-lo-cms-ticketbasesso/ 本文将介绍在 Web 环境下,客户端和服务器端如何基于 CMS(Crypto Message Syntax) 数字签名实现两者之间的 Web SSO(Single Sign On),重点介绍如何用 Java 语言实现 CMS 数字签名的生成与验证,以
CMS签名研究(openssl
Joe's Blog
11-01 9695
CMS签名研究材料: 描述: 使用CMS对u-boot.imx文件进行签名,生成签名signature文件。
【无标题】数字签名CMS签名和PKCS7
u011144881的博客
08-12 108
数字签名CMS签名和PKCS7。
OpenSSL命令---CMS
VitalityShow(网络通讯)
10-29 7698
该命令处理S/MIME v3.1邮件。可以用它对S/MIME消息进行加密、解密、签名、验证签名、压缩以及解压缩等操作。
java openssl cms_OpenSSL |简介
weixin_28761455的博客
03-06 438
OpenSSL 是一个加解密和SSL/TLS 的工具箱,给我们提供了程序开发的库函数以及命令行工具。命令语法openssl cmd -help | [-option | -option arg] ... [arg] ...命令一览| asn1parse | OpenSSL application commands || ca | OpenSSL application commands || CA...
openssl3.2 - 官方demo学习 - cms - cms_ver.c
谢绝(无视)留言与私信
01-13 628
CMS验签, 将单独签名和联合签名出来的签名文件都试试.验签成功后, 将签名数据明文写入了文件供查看.也就是说, 只有验签成功后, 才能看到签名数据的明文.验签时, 使用的是上一级的证书(这里是CA证书)签名时, 使用的是低级证书(接收者证书, 或者说是签名证书, 这些证书都是CA证书发出来的)
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值