Linux下openssl req 命令详解

openssl req命令

 

1.主要的功能：

生成证书请求文件， 查看验证证书请求文件，还有就是生成自签名证书。

 

2.主要命令选项：

-new和-509
-new    :说明生成证书请求文件
-x509   :说明生成自签名证书
——————————————————————————————————————————————————————————————————————————————————————

-key和-newkey
-key filename  :证书私钥文件的来源。只与生成证书请求选项-new配合。
-newkey :-newkey是与-key互斥的,-newkey是指在生成证书请求或者自签名证书的时候自动生成密钥,然后生成的密钥名称由-keyout参数指定。当指定-newkey选项时,后面指定rsa:bits说明产生rsa密钥，位数由bits指定。
——————————————————————————————————————————————————————————————————————————————————————

-out,-in
-out filename  :指定生成的证书请求或者自签名证书名称,或者公钥文件名(当使用pubkey选项时用到)，以及其他一些输出信息。
-in filename   :指定证书请求文件。当查看证书请求内容或者生成自签名证书的时候使用。只有-new和-newkey俩个选项没有被设置，本选项才有效。
——————————————————————————————————————————————————————————————————————————————————————

-days n :指定自签名证书的有效期限。默认为30天。
-subj string:指定用户的信息
-config filename :默认参数在ubuntu上为 /etc/ssl/openssl.cnf, 可以使用-config指定特殊路径的配置文件
——————————————————————————————————————————————————————————————————————————————————————

-sha256 :摘要算法使用sha256
-text   :以文本的方式打印出来。
-nodes  :如果指定-newkey自动生成秘钥，那么-nodes选项说明生成的秘钥不需要加密，即不需要输入passphase.   
-batch  :指定非交互模式，直接读取config文件配置参数，或者使用默认参数值      

 

3.命令示例：

<1>

#生成自签名证书,证书名client.crt，采用自动生成秘钥的方式，指定生成秘钥长度为1024，秘钥文件client.key.
openssl req -x509 -out client.crt  -newkey rsa:1024 -keyout client.key -batch -nodes   

 

<2>

#生成自签名证书，证书名client.crt，指定秘钥文件，秘钥文件为rsa_private_key.pem。
openssl req -x509 -out client.crt -new -key ./rsa_private_key.pem -nodes -batch
#注意下面命令不能正确执行，不加-new 命令貌似不能指定秘钥文件
openssl req -x509 -key ./rsa_private_key.pem -out client.crt -nodes -batch

 

<3>

#指定秘钥文件pri_key.pem，生成证书请求文件 req.csr
openssl req -new -key pri_key.pem -out req.csr
#使用req命令，以文本方式查看刚生成的证书请求文件
openssl req -in req1.csr -text
#查看证书请求文件的公钥， 这个公钥就是从pri_key.pem私钥文件导出的公钥
openssl req -in req1.csr -noout -pubkey

下列选项和-noout选项配合分别查看证书请求文件的部分内容
-noout -pubkey   #查看证书请求文件的公钥
-noout -subject  #查看证书请求文件的个人信息部分

 

最后可以通过man req 查看详细的openssl req的详细信息。