[教程]openssl中证书生成、签发,CRL,密钥转换等命令最简教程(可直接跳到后文)

最新推荐文章于 2024-04-11 12:30:00 发布
置顶 最新推荐文章于 2024-04-11 12:30:00 发布
阅读量3.2k 收藏 9
点赞数 3
分类专栏: 数字证书 openssl PKI 文章标签: 数字证书 openssl PKI 数字安全和加密 互联网
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29820307/article/details/93346220
版权
openssl 同时被 3 个专栏收录
2 篇文章 0 订阅
订阅专栏
PKI
1 篇文章 0 订阅
订阅专栏
数字证书
0 篇文章 0 订阅
订阅专栏

前言

0.OPENSSL

  1. 什么是openssl?
    OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上。
    图片来自百度百科
  2. openssl功能?
    [主要功能]
    OpenSSL整个软件包大概可以分成三个主要的功能部分:SSL协议库、应用程序以及密码算法库。OpenSSL的目录结构自然也是围绕这三个功能部分进行规划的。
    作为一个基于密码学的安全开发包,OpenSSL提供的功能相当强大和全面,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用。
    [辅助功能]
    BIO机制是OpenSSL提供的一种高层IO接口,该接口封装了几乎所有类型的IO接口,如内存访问、文件访问以及Socket等。这使得代码的重用性大幅度提高,OpenSSL提供API的复杂性也降低了很多。
    OpenSSL对于随机数的生成和管理也提供了一整套的解决方法和支持API函数。随机数的好坏是决定一个密钥是否安全的重要前提。
    OpenSSL还提供了其它的一些辅助功能,如从口令生成密钥的API,证书签发和管理中的配置文件机制等等。
  3. openssl支持的算法有哪些?
    openssl目前支持的算法(包括但不限于):AES、DES、Blowfish、CAST、IDEA、RC2、RC5、DH算法、RSA算法、DSA算法和椭圆曲线算法(EC)等等。在新版本还支持GM、GM2(国密)!

开始之前

1.OPENSSL 下载安装

openssl可以通过官网(https://www.openssl.org/)或第三方渠道下载。
从官网下载下来的文件通常是.tar.gz后缀压缩文件。需要自己安装VS2015(或2017,2019)和Perl来编译。(注:NASM可选可不选)
或者,可以通过第三方渠道直接下载已经编译好的程序(压缩包或者安装程序[.exe/.msi])。

2.初步准备

无论是编译,还是安装包亦或是压缩包,最后得到的程序目录下的Bin目录(\bin)内,除了PEM文件夹之外是没有其他文件夹的,但openssl生成证书的时候,是需要一些文件和文件夹的,这个时候请跟我一起来做吧![我会在下面放一个清单列表,帮助你来确定是否全部准备就绪。]
首先,在程序目录下的Bin目录(\bin)内举个例子
新建一个名为demoCA的文件夹,完成后打开此文件夹,新建文件夹certscrlnewcertsprivate这几个文件夹,然后再新建名为crlnumberindex.txtserial这几个文件,完成后打开serial文件(用记事本打开),输入证书序列号(01或f65jh1yt65k46ds31df6[注:序列号内容可随便输入,但请务必保证结尾是数字!])然后保存。

注:除了要求生成的文件夹和文件外,其他文件会自动生成的。

demoCA文件夹
注:除了要求生成的文件夹和文件外,其他文件会自动生成的。

  • 文件夹:
  • demoCA
  • certs
  • crl
  • newcerts
  • private
  • 文件:
  • crlnumber
  • index.txt
  • serial

生成证书

注意:此处指令请在openssl中运行,命令行操作请在openssl目录下Bin目录内运行命令行,并且请在每条指令前加上“openssl”。例如:openssl genrsa -aes256 -out “rootca.key” 2048
#生成密钥,2048是密钥长度(Bit),-aes256是生成aes256标准的密钥

生成根CA:
genrsa -aes256 -out "rootca.key" 2048
#生成密钥,2048是密钥长度(Bit),-aes256是生成aes256标准的密钥
req -new -key "rootca.key" -out "rootca.csr" -config ./rootca.cfg
#生成证书请求文件,这一步需要输入生成密钥时输入的私钥。
#./rootca.cfg是楼主本人修改openssl配置文件后,使其符合根CA“范”的配置文件!后续配置文件我会放出到我的网站和CSDN下载的![https://openssl.dkni.top/config/]
openssl req -x509 -sha256 -days 3653 -key "rootca.key" -in "rootca.csr" -out "rootca.crt" -config ./rootca.cfg
#生成自签名根证书,-sha256是生成sha256算法的证书,3653是3653天,在证书中则是10年
用上一步生成的根CA签发下级CA(下级签发下级同理)

注意,此处生成的是下级CA证书,如果想生成最终实体证书,请在配置文件中将
[ v3_req ]和[ v3_ca ]内的“basicConstraints = critical,CA:true”改为“basicConstraints = critical,CA:false”:
图解

genrsa -aes256 -out "seccert.key" 2048
#生成密钥,2048是密钥长度(Bit),-aes256是生成aes256标准的密钥
req -new -key "seccert.key" -out "seccert.csr" -config ./ca.cfg
#生成证书请求文件,这一步需要输入生成密钥时输入的私钥。
#后续配置文件我会放出到我的网站和CSDN下载的![https://openssl.dkni.top/config/]
ca -extensions v3_ca -md sha256 -in "seccert.csr" -config ./ca.cfg -days 3653 -out "seccert.crt" -cert "rootca.crt" -keyfile "rootca.key"
#根证书签发下级证书,-md sha256是生成sha256算法的证书,3653是3653天,在证书中则是10年,-extensions v3_ca是生成V3版本证书
吊销证书和CRL列表生成

注意:每次吊销证书后都需要更新(重新生成CRL列表)!

##吊销证书 - ///吊销证书后务必更新CRL列表!!(重新生成)
openssl ca -revoke "xxxcert.crt"

##生成CRL列表:
openssl ca -gencrl -crldays 7 -cert "seccert.crt" -keyfile "seccert.key" -md md5 -out "test.crl" -config ca.cfg
私钥格式转换

新版本的openssl中,支持.key私钥文件转换为.pvk文件。

KEY转PVK
rsa -in seccert.key -outform PVK -pvk-strong -out secpvk.pvk

至此,本文章就到这里了,喜欢我的话记得点个关注或者打赏我哦!我后续会继续详解如何给证书添加CRL的哦!

[—END—]

日暮清林
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
使用OpenSSL生成证书
08-17 9429
Step 1. Create key (password protected) openssl genrsa -out prvtkey.pem 1024/2038                     (with out password protected)    openssl genrsa -des3 -out prvtkey.pem 1024/2048    (passwor
单机使用Openssl搭建CA并生成证书CRL(woindows、linux)
shuizhongmose的专栏
04-08 2392
参考文档:https://blog.csdn.net/miouqi/article/details/75268402 安装 windows去openssl官网下载安装包,然后将openssl的路径添加到环境变量PATH下面。 Linux安装可以参考:https://segmentfault.com/a/1190000016204693 准备(ubuntu在root权限) /...
数字证书的相关专业名词()---根证书CRL,以及javaCRL的获取和验证方法
qq_44005305的博客
04-11 817
上篇文章我们主要了解了PKI数字证书和PKCS,这篇文章我们主要了解一下根证书,以及OCSP和CRL。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)
opensll 证书CRL生成
qq_44401850的博客
07-12 1318
openssl生成CRLCRL解析,且验证证书吊销列表
openssl生成CRL
qq_28129193的博客
02-27 405
(当然我们用本测试CA时其时很少用到该命令,除非专门用于测试吊销证书的情况)注意:如果网管导入不进去,可能是制作的crl证书编码有问题,网管对CRL需要是DER编码。6.生成客户端证书,使用根证书签名(client-cert.cer)4.生成客户端key(client-key.key)2.创建根证书请求文件(root-req.csr)1.创建根证书私钥(ca.key)七、生成证书吊销列表文件(CRL)3.自签根证书(ca.cer)六、吊销证书(作废证书
openssl生成证书链多级证书证书吊销列表(CRL
热门推荐
Joe's Blog
12-01 2万+
openssl生成证书链多级证书
openssl编程教程.zip
04-15
line Tools)**:OpenSSL提供了许多实用的命令行工具,如`openssl genpkey`用于生成密钥对,`openssl req`用于创建证书请求,`openssl x509`用于处理证书,`openssl s_client`和`s_server`用于测试SSL/TLS连接等。...
CA.rar_c#crl_ca openssl_ep1kdl20.dll_证书
09-22
在CA的实现OpenSSL提供了创建和管理证书密钥CRL等工具,如`openssl ca`命令行工具,可以方便地进行证书签发、撤销等操作。 "ep1kdl20.dll"可能是一个特定于环境的动态链接库文件,用于提供某些特定功能,...
OpenSSL创建生成CA证书、服务器、客户端证书密钥
05-19
本文将详细介绍如何使用OpenSSL来创建生成CA(Certificate Authority)证书、服务器证书和客户端证书以及它们对应的密钥。 首先,我们需要理解证书的基本概念。在SSL/TLS协议证书用于验证通信双方的身份,通常...
使用openssl 生成免费证书的方法步骤
09-14
在本文,我们只触及了openssl的部分基础知识,实际上,openssl还包括更多的功能和配置选项,例如生成自签名证书证书吊销列表(CRL)管理以及SSL/TLS会话缓存等。学习和掌握openssl的详细用法,能帮助我们在实际...
Linux Openssl命令及实例代码
09-15
OpenSSL命令行工具允许用户在终端执行各种操作,如生成密钥对、创建和验证数字签名、进行加密解密等。 首先,OpenSSL包含了多种对称加密算法,如AES、DES、Blowfish、CAST、IDEA、RC2、RC5。这些算法在数据加密...
使用openssl生成证书
chen_jianjian的专栏
04-12 1793
一、生成证书步骤 1.先创建一个目录,我这边创建的目录是/var/myca,终端指向该目录 1.生成私钥(key文件):openssl genrsa -des3 -out server.key 2048 2.去除key文件口令,不然每次读取key文件都要输入口令openssl rsa -in server.key -out server.key 3.key生成一个csr证书openssl
gmssl 生成CRL、OSCP以及证书格式编码格式
lingdukafeibj的博客
07-09 1005
初学者学习gmssl ,以及生成证书,将证书导入到签名验签系统
java生成crl_24.9.5 使用过时 CRL
weixin_39679370的博客
02-25 213
24.9.5 使用过时 CRL当 S/MIME applet 向 Messaging Server 发送检查证书的请求后,Messaging Server 将根据 CRL 检查证书。Messaging Server 并不是在每次检查证书时都将 CRL 下载到内存,而是将 CRL 的副本下载到磁盘并使用该副本进行证书检查。每个 CRL 都有一个下次更新字段,该字段指定在哪个日期后应该使用更新的 ...
OpenSSL笔记
SoulWwb的博客
11-06 516
OpenSSL 笔记 文章目录OpenSSL 笔记对称加密(可以加解密文件)单向加密生成密钥生成私钥生成公钥创建证书使用私钥签名X.509命令使用私钥与证书的存储格式Binary(DER)格式证书ASCII(PEM)格式证书Binary(DER)格式密钥ASCII(PEM)格式密钥PKCS#7格式证书PKCS#12(PFX)格式的密钥证书TLS配置创建私有CA创建下级CA参考文章 对称加密(可...
openssl-2
万里长城永不倒的博客
11-01 373
参考http://blog.csdn.net/as3luyuan123/article/details/14138983http://blog.csdn.net/as3luyuan123/article/details/16873093openssl ec -text -noout -in 5ae8c8c28c32b7b6c3daa7924d7a794bd6fd3ea0f4a3792bed3aa7
Certificate: convert *.crt to *.cer; *.key to *.pvk
zz_strive_2012的专栏
12-08 1510
How do I convert .crt file into the Microsoft .cer format Double-click on the yourwebsite.crt file to open it into the certificate display.  Select the Details tab, then select the Cop
Java软件开发实战 Java基础与案例开发详解 19-7 综合示例 共10页.pdf
最新发布
07-07
完整版:https://download.csdn.net/download/qq_27595745/89522468 【课程大纲】 1-1 什么是java 1-2 认识java语言 1-3 java平台的体系结构 1-4 java SE环境安装和配置 2-1 java程序简介 2-2 计算机的程序 2-3 java程序 2-4 java类库组织结构和文档 2-5 java虚拟机简介 2-6 java的垃圾回收器 2-7 java上机练习 3-1 java语言基础入门 3-2 数据的分类 3-3 标识符、关键字和常量 3-4 运算符 3-5 表达式 3-6 顺序结构和选择结构 3-7 循环语句 3-8 跳语句 3-9 MyEclipse工具介绍 3-10 java基础知识章节练习 4-1 一维数组 4-2 数组应用 4-3 多维数组 4-4 排序算法 4-5 增强for循环 4-6 数组和排序算法章节练习 5-0 抽象和封装 5-1 面向过程的设计思想 5-2 面向对象的设计思想 5-3 抽象 5-4 封装 5-5 属性 5-6 方法的定义 5-7 this关键字 5-8 javaBean 5-9 包 package 5-10 抽象和封装章节练习 6-0 继承和多态 6-1 继承 6-2 object类 6-3 多态 6-4 访问修饰符 6-5 static修饰符 6-6 final修饰符 6-7 abstract修饰符 6-8 接口 6-9 继承和多态 章节练习 7-1 面向对象的分析与设计简介 7-2 对象模型建立 7-3 类之间的关系 7-4 软件的可维护与复用设计原则 7-5 面向对象的设计与分析 章节练习 8-1 内部类与包装器 8-2 对象包装器 8-3 装箱和拆箱 8-4 练习题 9-1 常用类介绍 9-2 StringBuffer和String Builder类 9-3 Rintime类的使用 9-4 日期类简介 9-5 java程序国际化的实现 9-6 Random类和Math类 9-7 枚举 9-8 练习题 10-1 java异常处理 10-2 认识异常 10-3 使用try和catch捕获异常 10-4 使用throw和throws引发异常 10-5 finally关键字 10-6 getMessage和printStackTrace方法 10-7 异常分类 10-8 自定义异常类 10-9 练习题 11-1 Java集合框架和泛型机制 11-2 Collection接口 11-3 Set接口实现类 11-4 List接口实现类 11-5 Map接口 11-6 Collections类 11-7 泛型概述 11-8 练习题 12-1 多线程 12-2 线程的生命周期 12-3 线程的调度和优先级 12-4 线程的同步 12-5 集合类的同步问题 12-6 用Timer类调度任务 12-7 练习题 13-1 Java IO 13-2 Java IO原理 13-3 流类的结构 13-4 文件流 13-5 缓冲流 13-6 转换流 13-7 数据流 13-8 打印流 13-9 对象流 13-10 随机存取文件流 13-11 zip文件流 13-12 练习题 14-1 图形用户界面设计 14-2 事件处理机制 14-3 AWT常用组件 14-4 swing简介 14-5 可视化开发swing组件 14-6 声音的播放和处理 14-7 2D图形的绘制 14-8 练习题 15-1 反射 15-2 使用Java反射机制 15-3 反射与动态代理 15-4 练习题 16-1 Java标注 16-2 JDK内置的基本标注类型 16-3 自定义标注类型 16-4 对标注进行标注 16-5 利用反射获取标注信息 16-6 练习题 17-1 顶目实战1-单机版五子棋游戏 17-2 总体设计 17-3 代码实现 17-4 程序的运行与发布 17-5 手动生成可执行JAR文件 17-6 练习题 18-1 Java数据库编程 18-2 JDBC类和接口 18-3 JDBC操作SQL 18-4 JDBC基本示例 18-5 JDBC应用示例 18-6 练习题 19-1 。。。
使用 OpenSSL 创建生成CA 证书服务器客户端证书密钥
01-16
通过`openssl req`命令生成请求文件,然后使用`openssl x509`命令将其转换证书。 4. **加密私钥**: - 加密私钥是保护敏感信息的关键步骤。常见的加密方法有DES、DES3、IDEA、AES等,选择合适的加密算法和模式...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

日暮清林

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值