openssl制作ECC证书详解

最新推荐文章于 2024-05-08 19:56:45 发布
最新推荐文章于 2024-05-08 19:56:45 发布
阅读量2.3k 收藏 21
点赞数 26
文章标签: 网络 服务器 运维 ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31539845/article/details/134816660
版权

1.ECC证书是什么?

ECC证书是使用椭圆曲线密码学(Elliptic Curve Cryptography,ECC)算法生成的数字证书。与传统的RSA算法相比,ECC算法在相同的安全级别下使用更短的密钥长度,提供了更高的安全性和更高的性能。

ECC证书通常用于安全通信和加密应用中,用于验证和加密数据的身份和完整性。它们被广泛用于SSL/TLS协议中,用于加密网站和保护网络通信的安全性。

ECC证书包含了一对密钥:一个私钥和一个公钥。私钥用于签名和解密数据,而公钥用于验证签名和加密数据。ECC证书还包含了证书持有者(通常是网站或实体)的身份信息,例如域名、组织名称等。

ECC证书的主要优势包括更短的密钥长度、更高的安全性、更快的加密和解密速度以及更小的计算和存储资源需求。这使得ECC证书成为现代网络安全领域中的重要技术。

ECC证书和RSA证书是两种常见的数字证书,它们使用不同的加密算法和密钥长度,并具有一些区别。以下是ECC证书和RSA证书之间的主要区别:

  1. 密钥长度:ECC证书使用的密钥长度相对较短,通常在256位到521位之间,而RSA证书使用的密钥长度通常在2048位到4096位之间。尽管ECC密钥长度较短,但其安全性与相应长度的RSA密钥相当。

  2. 安全性:ECC算法在相同的密钥长度下提供了比RSA算法更高的安全性。这是因为ECC利用椭圆曲线上的数学问题,其安全性与大素数分解问题(RSA算法的基础)相比更难攻破。

  3. 性能:由于密钥长度较短,ECC算法在加密、解密和密钥交换等方面具有更好的性能。它需要更少的计算资源和带宽,因此在移动设备和网络通信中更受青睐。

  4. 支持情况:ECC算法相对较新,因此在一些旧版本的软件和硬件中可能不被完全支持。相比之下,RSA算法是较为传统和广泛支持的加密算法。

总体而言,ECC证书在相同安全级别下具有更短的密钥长度、更高的安全性和更好的性能,但其在某些旧版本的系统中可能不受完全支持。选择使用ECC证书还是RSA证书取决于具体的应用需求和系统兼容性。

来看一张ECC证书:

这里就是一张ECC证书,那么公钥和公钥参数是什么?带着这个疑问,可以看下一节中制作证书时的详细参数解释。

2.使用openssl制作ECC证书

OpenSSL的ecparam命令支持多种椭圆曲线参数,用于生成椭圆曲线密码算法(Elliptic Curve Cryptography,ECC)所需的参数。以下是一些常用的椭圆曲线参数:

  1. prime256v1(也称为secp256r1):NIST P-256曲线,使用256位素数域。
  2. secp384r1:NIST P-384曲线,使用384位素数域。
  3. secp521r1:NIST P-521曲线,使用521位素数域。
  4. secp256k1:用于比特币和其他加密货币的曲线,使用256位素数域。
  5. sect283k1:SECG/WTLS曲线,使用283位素数域。
  6. sect283r1:SECG/WTLS曲线,使用283位素数域。

你也可以使用以下命令来查看您的OpenSSL版本支持的所有椭圆曲线参数:

openssl ecparam -list_curves

这将列出您的OpenSSL版本支持的所有椭圆曲线参数。请注意,具体支持的参数取决于您所使用的OpenSSL版本。

2.1 制作ECC自签CA证书

openssl ecparam -genkey -name secp384r1 -out ./demoCA/private/cakey.pem #生成CA密钥,可以看到这里指定了secp3841r1椭圆曲线参数

在使用OpenSSL的ecparam命令生成ECC密钥时,可以使用以下参数:

  1. -name <curve>:指定椭圆曲线的名称。例如,secp256r1表示使用NIST P-256曲线。

  2. -out <filename>:指定生成的密钥文件的输出路径和名称。

  3. -param_enc explicit|named_curve:指定参数编码方式。explicit表示使用显式参数编码,named_curve表示使用命名曲线。

  4. -genkey:生成ECC密钥对。

  5. -noout:不输出生成的密钥对。

openssl req -new -days 3650 -key ./demoCA/private/cakey.pem -out ./demoCA/careq.pem -config /etc/ssl/openssl.cnf    #生成 CA 证书请求

在使用OpenSSL的req命令生成证书请求(CSR)时,可以使用以下参数:

  1. -new:创建一个新的证书请求。

  2. -key <keyfile>:指定私钥文件的路径和名称。

  3. -out <csrfile>:指定生成的证书请求文件的输出路径和名称。

  4. -config <configfile>:指定配置文件的路径和名称,其中包含了生成证书请求所需的配置信息。

  5. -subj <subject>:指定证书主题(Subject)的信息。例如,/C=US/ST=California/L=San Francisco/O=Example Corp/CN=www.example.com

  6. -nodes:生成一个不加密的私钥文件。

  7. -newkey <algorithm>:<keyfile>:使用指定的算法生成新的私钥文件。

  8. -sha256:使用SHA-256哈希算法进行签名。

  9. -days <num>:指定证书的有效期天数

openssl ca -selfsign -days 3650 -in ./demoCA/careq.pem -out demoCA/cacert.pem -extensions v3_ca   #自签发 CA 根证书

openssl ca -selfsign命令用于自签名证书。以下是一些常用的参数:

  1. -in:指定要签名的证书请求文件。
  2. -out:指定生成的自签名证书文件的路径和名称。
  3. -keyfile:指定用于签名证书的私钥文件。
  4. -cert:指定用于签名证书的证书文件。
  5. -config:指定用于配置证书签名的配置文件。
  6. -extensions:指定用于生成证书的扩展配置。
  7. -startdate:指定证书的起始日期。
  8. -enddate:指定证书的截止日期。
  9. -days:指定证书的有效期天数。
  10. -batch:启用批量模式,不会提示用户输入。
  11. -passin:指定私钥密码的来源,例如文件或环境变量。
  12. -subj:指定证书的主题(Subject)信息。
  13. -subj_hash:使用主题哈希作为证书文件名。

这些参数可以根据你的具体需求进行调整。请注意,生成自签名证书需要有相应的私钥和配置文件

2.2 制作ecc中级CA 证书

openssl ecparam -genkey -name secp384r1 -out ./demoCA/private/eccinterca.key #生成interca密钥,可替换参数secp384r1

openssl req -new -sha256 -days 3650  -key ./demoCA/private/eccinterca.key -out ./demoCA/eccreq.pem -config /etc/ssl/openssl.cnf  #生成interca请求

openssl ca -in ./demoCA/eccreq.pem -out ./demoCA/newcerts/eccinter.pem -config /etc/ssl/openssl.cnf -extensions v3_ca   #签发interca证书

2.3制作ecc用户证书(根CA签发)

openssl ecparam -genkey -name secp384r1 -out ./demoCA/private/eccuserkey.pem #生成用户密钥

openssl req -new -days 3650  -key ./demoCA/private/eccuserkey.pem -out ./demoCA/eccusereq.pem -config /etc/ssl/openssl.cnf #生成用户证书请求

openssl ca -in ./demoCA/eccusereq.pem -out ./demoCA/newcerts/eccuser.pem -config /etc/ssl/openssl.cnf -extensions v3_ca #签发用户证书

2.4制作ecc用户证书(中级CA证签发)

openssl req -new -days 3650  -key ./demoCA/private/eccuserkey.pem -out ./demoCA/eccusereq2.pem -config /etc/ssl/openssl.cnf

openssl ca -md sha256 -days 3650 -in ./demoCA/eccusereq2.pem -out ./demoCA/newcerts/eccuser2.pem -cert ./demoCA/newcerts/eccinter.pem -keyfile ./demoCA/private/eccinterca.key -config /etc/ssl/openssl.cnf

在线升级
关注
  • 26
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
openssl ECC命令行:生成密钥加密解密签名验签
baron-周贺贺-代码改变世界ctw
08-03 741
请注意,ECC加密在安全性和性能方面通常比传统的RSA算法更优越,尤其在资源受限的环境中。使用ECC算法时,请确保选择适当的曲线,如prime256v1(也称为secp256r1)。
ECC SSL证书详解
01-10
现在 SSL 证书普遍使用的是 RSA 算法,由于上述的 RSA 算法存在的缺点,使用 ECC 作为其公钥算法的数字证书近几年的发展也不容小觑:2008 年左右 CA 开始储备 ECC证书,2012 年左右 CA 开始对外公开销售 ECC 证书,2014 年 ECC 证书在国外被普遍开始使用,2015 年国内开始接受 ECC 证书
OpenSSL 3.1.1 ECC 加密、解密、签名、验签(国密 sm2、sm3)
Linuxsisohard的博客
06-05 7736
openssl 3 默认废弃了 旧版本 (opessl 1.x) 的部分api 导致部分旧ecc 代码无法使用(可以通过配置编译选项打开)新接口是真的方便,基本上你都不需要懂啥密码学知识,对我们这种密码白痴来说太好了。,这里展示如何使用新接口用ECC 进行加密解密。
openssl 生成证书步骤
最新发布
hinewcc的博客
05-08 2796
本地使用 openssl 生成证书
Linux openssl ecc prime256v1签名与验签(可以输出16进制公钥)
终有一天我们会再相遇
12-04 421
Linux openssl ecc prime256v1签名与验签(可以输出16进制公钥)
使用openssl命令行产生密钥对、签发证书[详细]
一切有为法,如梦亦如幻,如露亦如电,应作如是观。
08-30 7868
这个公钥内容的前半部分是什么呢?注意:以下操作命令均在openssl的bin目录内执行。
OpenSSL命令---ecparam
VitalityShow(网络通讯)
11-06 9778
椭圆曲线密钥参数生成及操作
使用openssl 生成RSA、SM2、ECC的P12证书的方法
weixin_39891030的博客
10-09 4989
使用openssl 生成RSA、SM2、ECC的P12证书的方法,使用keytool生成keystore证书
OpenSSL生成自签名证书及使用
@tangguo123 博客
07-10 2657
openssl 生成自签名证书及使用
Windows openssl自建CA并分发证书(ECC)
c630843901的博客
07-06 3343
需要下载安装openssl,并将其添加进path确保openssl可以使用后,列出可用ECC曲线 我们使用生成秘钥对。使用 生成证书我们需要使用证书来签名服务器和客户端的证书,使用私钥生成根证书,为此我们创建几个目录,用来存储证书,秘钥,索引数据任意创建一个文件夹,这里随意命名位tls 然后在该文件夹里创建如上图圈出文件/文件夹,其他都是后面命令自动生成的命令行进入自己创建的文件夹生成CA ECC私钥 ⽣成秘钥时,openssl默认仅存储曲线的名字: 生成CA证书 使用上一步生成的CA私钥,生成CA证书
使用 OpenSSL 命令行进行 ECC 签名及验签
01-07
首先查看一下 OpenSSL 内建了哪些椭圆曲线,使用命令为: openssl ecparam -list_curves         选择一条椭圆曲线创建 ECC 公私钥对,这里使用 secp256k1,执行命令: openssl ecparam -name secp256k1 -genkey -out ec.key         可以用文本编辑器打开 ec.key 文件,其内容类似于: —–BEGIN EC PARAMETERS—– BgUrgQQACg== —–END EC PARAMETERS—– —–BEGIN EC PRIVATE KEY—– MHQCAQEEINMie6Xet
openssl使用sm2算法
06-16
openssl使用sm2算法,其中带有openssl头文件及动态库,可直接编译运行。
openssL开发手册详解.rar
03-22
openssl开发手册详解》是针对OpenSSL库进行深入解析的重要参考资料,对于从事加密技术、网络安全以及软件开发的人员来说,是一份极其宝贵的工具书。OpenSSL是一个强大的安全套接层(SSL)和传输层安全(TLS)协议...
openssl-3.2.0源文件
01-30
**OpenSSL 3.2.0 源代码解析与详解** OpenSSL 是一个开源的库,主要用于实现安全套接层(SSL)和传输层安全(TLS)协议,同时还提供了各种加密算法、证书操作以及安全通信相关的功能。版本 3.2.0 是 OpenSSL 的一个...
openssl-1.0.2k
05-18
**OpenSSL详解** OpenSSL是一个强大的安全套接字层密码库,包含了各种主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供丰富的应用程序供测试或其他目的使用。"openssl-1.0.2k"是OpenSSL的一个...
openssl测试
07-17
1. **加密算法支持**:OpenSSL 支持包括 RSA、DSA、ECC 在内的多种公钥算法,以及 AES、DES、Blowfish 等对称加密算法,确保数据传输的安全性。 2. **证书管理**:OpenSSL 提供了生成、管理和验证 X.509 数字证书的...
编译好的OPENSSL
08-05
**OpenSSL详解** OpenSSL是一个强大的安全套接字层密码库,包含了各种主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供丰富的应用程序用于测试或其他目的。在IT领域,OpenSSL库是构建网络通信...
ECC证书操作汇总(ECC certificate operations summary)
阿道夫的博客
12-12 1262
项目里用到了ECC证书使用,有一些证书的常规操作,在此进行汇总说明,以便后浪来踏。ECC的public key长度为65字节,第一个字节是标识符0x04,32字节biginteger X, 32字节biginteger Y;private key的长度是 32字节的biginteger。以下代码示例均为ECC secp256r1 曲线。
openssl制作ssl证书
12-15
以下是使用OpenSSL制作SSL证书的步骤: 1. 生成私钥(.key) ```shell openssl genrsa -out server.key 2048 ``` 2. 生成证书请求(.csr) ```shell openssl req -new -key server.key -out server.csr ``` 在这一步中,你需要输入一些信息,例如国家、省份、城市、组织、单位名称、公共名称等。请确保公共名称与你要使用证书的域名相匹配。 3. 用CA根证书签名得到证书(.crt) ```shell openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 3650 ``` 在这一步中,你需要提供CA根证书和私钥,以及证书有效期。这将生成一个名为server.crt的证书文件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值