openssl req 详解

于 2024-07-24 21:59:57 发布
阅读量485 收藏 4
点赞数 2
分类专栏: openssl 文章标签: openssl ca证书
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41768644/article/details/140618480
版权

一、openssl req

该命令用于创建和处理PKCS#10格式的证书请求(certificate requests CSRs),也可以用来创建自签名证书( self-signed certificates)来当作根证书(root CAs)使用

-new 该选项用来生成一个新的证书请求(certificate request),它将提示用户输入相关的字段值。
如果没有指定-key选项,则会使用配置文件中的默认信息自动生成一个私钥以及证书请求文件;或者可以指定 -newkey和 -pkeyopt 两个选项用来指定生成的私钥类型

-out filename 指定输出文件名,如果不指定则输出到 标准输出

-key filename|uri 生成一个证书请求或者签名一个证书需要使用到私钥,该选项

-in filename 这指定了要从中读取证书请求的输入文件名。仅当未指定创建选项(-new 或 -newkey 或 -precert)时,才会只读取请求。

-x509 指定此选项的话,输出的就是一个证书文件而不是证书请求文件

-keyout filename 指定自动生成的私钥文件名,或者从-key中指定的文件名,如果 -keyout 和 -key 选项都没有被提供,则会使用配置文件中的default_keyfile选项,如果上述选项都没有配置,则会输出到标准输出

-config filename 指定配置文件路径

-CA filename|uri 指定 “CA” 证书用于对其他证书进行签名(即对证书请求文件的相关内容进行签名生成一个新的证书),使用此选项,意味着包含了-x509选项

-CAkey filename|uri 使用CA证书对其他证书签名的时候需要指定该CA证书的私钥

-inform DER|PEM 指定输入CSR文件的编码格式,默认情况是PEM格式

-outform DER|PEM 指定输出CSR文件的编码格式,默认情况下不指定

-text 以text的格式输出CSR文件

-pubkey输出CSR文件中对应的公钥信息

-passout arg 指定输出文件的密码,一般用于指定生成key的密码

-passin arg 用于指定输入私钥文件或者证书、证书请求的密码

-newkey arg 当CSR生成命令没有使用-key指定一个具体的私钥的时候,会使用默认配置生成一个私钥,但是也可以使用-newkey arg选项自定义输出一个私钥
该选项同时包含了-new选项去生成一个CSR文件或者证书文件(证书文件需要同时指定-x509选项)。
arg选项如下:

-config filename 用于指定配置文件

-section name 指定配置文件中的section,默认式req

-verify 用于验证CSR自签名是否能成功,如果失败立即退出,并且不会打印信息,如果成功会打印如下字样:
Certificate request self-signature verify OK

-subj arg 用于设置证书请求文件的主题项(subject) -subj “/C=GB/CN=foo”

-not_before date 设置证书的生效时间 当-x509选项被指定的时候,该选项才会被允许使用,格式是 YYMMDDHHMMSSZ或者YYYYMMDDHHMMSSZ 或者 today

-not_after date 设置证书的到期时间 当-x509选项被指定的时候,该选项才会被允许使用,格式是 YYMMDDHHMMSSZ或者YYYYMMDDHHMMSSZ 或者 today

-days n 用于指定证书从今天开始的到期天数,n是一个正整数,默认是30天;当设置此值的时候不需要关注not_before,因为是从今天开始;当not_after此值被设置的时候,会覆盖掉-days选项的值,即-not_after 与 -days同时存在的时候, -not_after生效。

二、命令实例详解

  • 1、生成一个CSR文件,并且同时生成一个私钥文件
openssl req -new -keyout myprivkey.pem  -out mycsr.pem

上述命令再生成csr文件的同时也会生成一个私钥,一般情况下私钥需要使用加密算法+密码进行加密,所以会有提示让你输入密码,如果不想交互式的输入密码,可以使用-passout pass:mima选项

Enter PEM pass phrase:

Verifying - Enter PEM pass phrase:

在默认配置中,也会要求对输出的CSR文件进行加密,所以也会提升输入密码,如果不想要密码,可以再配置文件中进行修改

A challenge password []:
  • 2、使用存在的证书文件生成一个证书请求文件
 openssl req -new -key myprivkey1.pem  -out mycsr1.pem

如果私钥文件有密码,则会交互式的输入密码,如果不想交互式的输入密码,可以使用-passin pass:mima选项输入密码

  • 3、生成一个证书,该证书是自签名根证书( self-signed root certificate)
openssl req -new -keyout myprivkey1.pem  -x509 -out mycertificate.pem

如果想要生成一个证书文件,必须要指定-x509 选项,密码以及私钥策略同上

  • 4、检查和验证证书请求文件的正确性
 openssl req -in .\mycsr.pem -verif
  • 5、使用CA证书签名CSR文件,生成一个对应的新证书以及生成一个对应的私钥
openssl req -CA mycertificate.pem  -CAkey myprivkey.pem  -out testcert.pem

上述命令会自动生成一个私钥,以及由CA证书签名的证书

-CA选项用于指定CA根证书,CAkey用于指定CA对应的私钥,-CA选项通常包含-x509选项,而-x509又包含-new选项,所以上述命令有自动生成的含义

  • 6、使用CA证书签名CSR文件,生成一个对应的新证书
openssl req -CA mycertificate.pem  -CAkey myprivkey.pem -in mycsr.pem -out testcert2.pem

上述命令对已有的CSR文件进行签名,如果不指定-in选项,会自动(如果不指定in选项,会默认包含-new选项)生成一个私钥(该私钥需要交互式输入密码,如果不想交互式的输入密码需要指定-passout选项)以及对应的证书文件

三、配置文件

1、req的配置文件,用于存储一些配置字段以及需要交互式输入的字段

[ req ]
default_bits           = 2048
default_keyfile        = privkey.pem
distinguished_name     = req_distinguished_name
attributes             = req_attributes
req_extensions         = v3_ca

dirstring_type = nobmp

[ req_distinguished_name ]
countryName                    = Country Name (2 letter code)
countryName_default            = AU
countryName_min                = 2
countryName_max                = 2

localityName                   = Locality Name (eg, city)

organizationalUnitName         = Organizational Unit Name (eg, section)

commonName                     = Common Name (eg, YOUR name)
commonName_max                 = 64

emailAddress                   = Email Address
emailAddress_max               = 40

[ req_attributes ]
challengePassword              = A challenge password
challengePassword_min          = 4
challengePassword_max          = 20

[ v3_ca ]

subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer:always
basicConstraints = critical, CA:true

2、默认配置文件示例

[ req ]
default_bits           = 2048
default_keyfile        = keyfile.pem
distinguished_name     = req_distinguished_name
attributes             = req_attributes
prompt                 = no
output_password        = mypass

[ req_distinguished_name ]
C                      = GB
ST                     = Test State or Province
L                      = Test Locality
O                      = Organization Name
OU                     = Organizational Unit Name
CN                     = Common Name
emailAddress           = test@email.address

[ req_attributes ]
challengePassword              = A challenge password

注意

一个证书请求文件一般需要包含一个公钥以及如下信息:

Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:

但是在实际命令中通常是需要输入一个私钥,然后从私钥中提取公钥以及其他相关信息再配合上述信息共同组成证书请求文件。

husterlichf
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
利用OpenSSL生成证书详解
06-06
利用 OpenSSL 生成证书详解 OpenSSL 是一个功能强大和全面的安全开发包,提供了主要的密码算法、常用的密钥和证书封装管理功能以及 SSL 协议。OpenSSL 采用 C 语言作为开发语言,使得它具有优秀的跨平台性能,可以...
openssl命令
02-09
OpenSSL 命令详解 OpenSSL 是一个开源的加密工具包,常用于生成和管理数字证书。下面将对 OpenSSL 命令进行详解,并结合证书生成流程进行讲解。 证书生成流程 证书生成流程可以分为四个步骤:生成根证书、生成...
openssl生成证书
12-27
openssl生成证书】知识点详解 在IT领域,OpenSSL是一个强大的安全套接字层密码库,包含各种主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供丰富的应用程序用于测试或其他目的。生成证书是网络...
openssl.rar
05-28
**OpenSSL 开发包详解** OpenSSL 是一个强大的安全套接层(SSL)和传输层安全(TLS)协议实现库,同时提供了丰富的应用程序用于测试或其他目的。它包含了各种加密算法、常用的密钥和证书处理功能,是网络安全通信的...
openssl-1.0.2g源码
08-28
**OpenSSL 1.0.2g 源码详解** OpenSSL 是一个开源的库,主要用于实现安全套接层(SSL)和传输层安全(TLS)协议,同时还提供了各种加密算法、证书处理以及相关功能。OpenSSL 1.0.2g 版本是该库的一个稳定版本,发布...
b050闲置图书分享-springboot+vue+elementui.zip(可运行源码+sql文件+文档)
07-23
本次开发的闲置图书分享平台实现了收货地址管理、字典管理、公告管理、留言板管理、图书管理、图书收藏管理、图书评价管理、图书订单管理、用户管理、管理员管理等功能。系统用到了关系型数据库中王者MySql作为系统的数据库,有效的对数据进行安全的存储,有效的备份,对数据可靠性方面得到了保证。并且程序也具备程序需求的所有功能,使得操作性还是安全性都大大提高,让闲置图书分享平台更能从理念走到现实,确确实实的让人们提升信息处理效率。 管理图书的数据,此页面主要实现图书的增加、修改、删除、查看的功能。公告信息管理页面提供的功能操作有:新增公告,修改公告,删除公告操作。公告类型管理页面显示所有公告类型,在此页面既可以让管理员添加新的公告信息类型,也能对已有的公告类型信息执行编辑更新,失效的公告类型信息也能让管理员快速删除。
《大学生职业生涯规划与就业指导》大一阶段课程作业
最新发布
07-24
《大学生职业生涯规划与就业指导》大一阶段课程作业
开题报告潮汕特产直销系统 已通过开题答辩的.doc
07-23
随着互联网的高速发展,人们的生活方式发生了翻天覆地的变化,在过去,人们想要购买很远地方的东西会非常麻烦,因为是通信和交通都不是十分的方便,而现在网络购物成为了人们日常生活中不可或缺的一部分。在这样的背景下,互联网与传统行业的融合已经成为了一种不可阻挡的趋势。对于中国特色的潮汕特产来说,这一趋势也带来了巨大的变革和发展机遇[1]。
Python性能优化:掌握性能分析工具的实战指南
07-23
Python是一种广泛使用的高级编程语言,由Guido van Rossum于1989年底发明,第一个公开发行版发行于1991年。Python的设计哲学强调代码的可读性和简洁的语法(尤其是使用空格缩进来区分代码块,而不是使用大括号或关键词)。这使得Python被认为是一种易于学习的语言,同时具备强大的功能,适合初学者和经验丰富的程序员。 Python的主要特点包括: 1. **易于学习**:Python有相对较少的关键字,结构简单,和一个明确定义的语法。 2. **易于阅读**:Python代码定义的清晰度使得它像可执行伪代码。 3. **易于维护**:Python的成功在于它的源代码是相当容易维护的。 4. **广泛的标准库**:Python的标凑库很庞大,包含用于互联网通信、网络通信、数据压缩、加密、系统管理等的模块。 5. **跨平台**:Python可以在多种操作系统上运行,包括但不限于Windows、Mac OS X、Linux等。 6. **解释型语言**:Python是一种解释型语言,这意味着开发过程中没有编译步骤。 7. **动态类型系统**:Python不会在编写
Android学习系列之gradle实战
07-23
Android学习系列之gradle实战
RFC 3261中文版技术文档
07-23
**标题与描述解析** 标题"RFC 3261 中文文档"指的是互联网请求评论(Request for Comments)3261的中文版本。RFC 3261是互联网工程任务组(IETF)发布的一个重要标准,它定义了SIP(Session Initiation Protocol,会话初始协议)的核心规范。SIP是一种用于建立、修改和终止多媒体通信会话的协议,广泛应用于VoIP(Voice over IP,IP语音)和统一通信系统中。 描述同样简洁明了,只强调了这是RFC 3261的中文翻译,意味着对于中文读者来说,这个文档提供了一个理解SIP协议的中文语言资源。 **标签解析** "RFC3261 中文"标签进一步确认了文档的内容,表明这是关于RFC 3261的中文资料,便于搜索和分类。 **压缩包子文件的文件名称列表** 文件名为"RFC3261 中文.mht",这是一个单一网页文件,通常包含HTML、图像和其他资源,用于保存完整的网页内容。用户可以通过打开这个文件来查看RFC 3261的中文翻译。 **SIP协议详述** SIP协议是基于文本的,其设计类似于HTTP
嵌入式LinuxC语言程序设计基础教程第8章函数解读.doc
07-23
嵌入式
DirectShow滤镜:字幕叠加功能(含注解说明)
07-23
DirectShow Transform Filter最典型的例子,带注释,难度不大,学习必备 博客对应文章http://blog.csdn.net/leixiaohua1020/article/details/12498975。内容来源于网络分享,如有侵权请联系我删除。另外如果没有积分的同学需要下载,请私信我。
b069牙科就诊管理系统-springboot+vue+elementui.zip(可运行源码+sql文件+文档)
07-23
牙科就诊管理系统利用当下成熟完善的SSM框架,使用跨平台的可开发大型商业网站的Java语言,以及最受欢迎的RDBMS应用软件之一的Mysql数据库进行程序开发。实现了用户在线查看数据。管理员管理病例管理、字典管理、公告管理、药单管理、药品管理、药品收藏管理、药品评价管理、药品订单管理、牙医管理、牙医收藏管理、牙医评价管理、牙医挂号管理、用户管理、管理员管理等功能。牙科就诊管理系统的开发根据操作人员需要设计的界面简洁美观,在功能模块布局上跟同类型网站保持一致,程序在实现基本要求功能时,也为数据信息面临的安全问题提供了一些实用的解决方案。可以说该程序在帮助管理者高效率地处理工作事务的同时,也实现了数据信息的整体化,规范化与自动化。 管理员在后台主要管理病例管理、字典管理、公告管理、药单管理、药品管理、药品收藏管理、药品评价管理、药品订单管理、牙医管理、牙医收藏管理、牙医评价管理、牙医挂号管理、用户管理、管理员管理等。 牙医列表页面,此页面提供给管理员的功能有:查看牙医、新增牙医、修改牙医、删除牙医等。公告信息管理页面提供的功能操作有:新增公告,修改公告,删除公告操作。公告类型管理页面显示所有公告类型,在此页面既可以让管理员添加新的公告信息类型,也能对已有的公告类型信息执行编辑更新,失效的公告类型信息也能让管理员快速删除。药品管理页面,此页面提供给管理员的功能有:新增药品,修改药品,删除药品。药品类型管理页面,此页面提供给管理员的功能有:新增药品类型,修改药品类型,删除药品类型。
2014年4月-2023年11月上市公司ESG数据(秩鼎)(月度数据).xlsx
07-23
2014年4月-2023年上市公司秩鼎ESG评级数据 1、时间:2014年4月-2023年11月 2、来源:秩鼎数据 3、指标:证券代码、SC、评级日期、ESG评级、ESG等级、ESG得分、E评级、E等级、E得分、S评级、S等级、S得分、G评级、G等级、G得分、总市值(亿元)、流通市值(亿元)、市盈率(TTM)、ESG标准正态、E标准正态、S标准正态、G标准正态、三者标准差、证券简称、 4、范围:上市公司
Sequator执行文件
07-23
Sequator.exe。内容来源于网络分享,如有侵权请联系我删除。另外如果没有积分的同学需要下载,请私信我。
wireless.sh执行脚本
07-23
openwrt执行脚本配置网络
本文利用随机森林模型对房价数据进行预处理, 基于 XGBoost对房价进行预测;通过对比实验,发现优化后的 XGBoost模型在
07-23
1.本文首先对数据集进行了特征工程,根据相关性对部分特征进行了剔除。 其他的特征工程还包括分类变量的编码方式的探讨以及对连续变量的标准化。 2.随后对数据集做进一步处理,连续变量的缺失值以平均值填充,并进行标 准化;分类变量的缺失值以出现最多的类别等方式进行填充,使用 Ordinal Encoder 进行编码。使用 Random Forest Regressor 进行特征选择,输出特征重要 性,为 XGBoost模型的训练做准备。 3.使用 XGBoost 进行预测,数据选择之前使用随机森林输出的特征重要性的 前 30 作为特征变量;最后将问题转换为分类问题,预测房价的高和低。 本文做的比较好的方面在于对于过多的特征采取了使用随机森林模型进行 筛选,这使得后续使用 XGBoost 时训练时间大幅减小。在实际训练当中,使用 随机森林的效果明显好于 XGBoost,这是本文的一个缺陷。另一方面,直接将回 归任务转化为分类任务意义不大,如何评定该地的房价是高还是低是一件比较主 观的事情,不同的划分标准对于模型的表现具有很大的影响。
计算科学概论-平时作业
07-23
计算科学概论-平时作业
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值