前言
0.OPENSSL
- 什么是openssl?
OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上。
- openssl功能?
[主要功能]
OpenSSL整个软件包大概可以分成三个主要的功能部分:SSL协议库、应用程序以及密码算法库。OpenSSL的目录结构自然也是围绕这三个功能部分进行规划的。
作为一个基于密码学的安全开发包,OpenSSL提供的功能相当强大和全面,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用。
[辅助功能]
BIO机制是OpenSSL提供的一种高层IO接口,该接口封装了几乎所有类型的IO接口,如内存访问、文件访问以及Socket等。这使得代码的重用性大幅度提高,OpenSSL提供API的复杂性也降低了很多。
OpenSSL对于随机数的生成和管理也提供了一整套的解决方法和支持API函数。随机数的好坏是决定一个密钥是否安全的重要前提。
OpenSSL还提供了其它的一些辅助功能,如从口令生成密钥的API,证书签发和管理中的配置文件机制等等。 - openssl支持的算法有哪些?
openssl目前支持的算法(包括但不限于):AES、DES、Blowfish、CAST、IDEA、RC2、RC5、DH算法、RSA算法、DSA算法和椭圆曲线算法(EC)等等。在新版本还支持GM、GM2(国密)!
开始之前
1.OPENSSL 下载安装
openssl可以通过官网(https://www.openssl.org/)或第三方渠道下载。
从官网下载下来的文件通常是.tar.gz后缀压缩文件。需要自己安装VS2015(或2017,2019)和Perl来编译。(注:NASM可选可不选)
或者,可以通过第三方渠道直接下载已经编译好的程序(压缩包或者安装程序[.exe/.msi])。
2.初步准备
无论是编译,还是安装包亦或是压缩包,最后得到的程序目录下的Bin目录(\bin)内,除了PEM文件夹之外是没有其他文件夹的,但openssl生成证书的时候,是需要一些文件和文件夹的,这个时候请跟我一起来做吧![我会在下面放一个清单列表,帮助你来确定是否全部准备就绪。]
首先,在程序目录下的Bin目录(\bin)内
新建一个名为demoCA的文件夹,完成后打开此文件夹,新建文件夹certs,crl,newcerts,private这几个文件夹,然后再新建名为crlnumber,index.txt,serial这几个文件,完成后打开serial文件(用记事本打开),输入证书序列号(01或f65jh1yt65k46ds31df6[注:序列号内容可随便输入,但请务必保证结尾是数字!])然后保存。
注:除了要求生成的文件夹和文件外,其他文件会自动生成的。
- 文件夹:
- demoCA
- certs
- crl
- newcerts
- private
- 文件:
- crlnumber
- index.txt
- serial
生成证书
注意:此处指令请在openssl中运行,命令行操作请在openssl目录下Bin目录内运行命令行,并且请在每条指令前加上“openssl”。例如:openssl genrsa -aes256 -out “rootca.key” 2048
#生成密钥,2048是密钥长度(Bit),-aes256是生成aes256标准的密钥
生成根CA:
genrsa -aes256 -out "rootca.key" 2048
#生成密钥,2048是密钥长度(Bit),-aes256是生成aes256标准的密钥
req -new -key "rootca.key" -out "rootca.csr" -config ./rootca.cfg
#生成证书请求文件,这一步需要输入生成密钥时输入的私钥。
#./rootca.cfg是楼主本人修改openssl配置文件后,使其符合根CA“范”的配置文件!后续配置文件我会放出到我的网站和CSDN下载的![https://openssl.dkni.top/config/]
openssl req -x509 -sha256 -days 3653 -key "rootca.key" -in "rootca.csr" -out "rootca.crt" -config ./rootca.cfg
#生成自签名根证书,-sha256是生成sha256算法的证书,3653是3653天,在证书中则是10年
用上一步生成的根CA签发下级CA(下级签发下级同理)
注意,此处生成的是下级CA证书,如果想生成最终实体证书,请在配置文件中将
[ v3_req ]和[ v3_ca ]内的“basicConstraints = critical,CA:true”改为“basicConstraints = critical,CA:false”:
genrsa -aes256 -out "seccert.key" 2048
#生成密钥,2048是密钥长度(Bit),-aes256是生成aes256标准的密钥
req -new -key "seccert.key" -out "seccert.csr" -config ./ca.cfg
#生成证书请求文件,这一步需要输入生成密钥时输入的私钥。
#后续配置文件我会放出到我的网站和CSDN下载的![https://openssl.dkni.top/config/]
ca -extensions v3_ca -md sha256 -in "seccert.csr" -config ./ca.cfg -days 3653 -out "seccert.crt" -cert "rootca.crt" -keyfile "rootca.key"
#根证书签发下级证书,-md sha256是生成sha256算法的证书,3653是3653天,在证书中则是10年,-extensions v3_ca是生成V3版本证书
吊销证书和CRL列表生成
注意:每次吊销证书后都需要更新(重新生成CRL列表)!
##吊销证书 - ///吊销证书后务必更新CRL列表!!(重新生成)
openssl ca -revoke "xxxcert.crt"
##生成CRL列表:
openssl ca -gencrl -crldays 7 -cert "seccert.crt" -keyfile "seccert.key" -md md5 -out "test.crl" -config ca.cfg
私钥格式转换
在新版本的openssl中,支持.key私钥文件转换为.pvk文件。
KEY转PVK
rsa -in seccert.key -outform PVK -pvk-strong -out secpvk.pvk
至此,本文章就到这里了,喜欢我的话记得点个关注或者打赏我哦!我后续会继续详解如何给证书添加CRL的哦!
[—END—]