关于openssl.conf文件

于 2024-07-24 06:44:42 发布
阅读量450 收藏 20
点赞数 25
分类专栏: 密码学 文章标签: 开源软件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sun1193417957/article/details/140624275
版权

OpenSSL 的配置文件 openssl.conf 有以下几个主要用途:

  1. 定义默认选项和参数:
    在 openssl.conf 中可以设置 OpenSSL 命令的默认参数,如密钥长度、签名算法、证书有效期等。这样可以避免每次使用 OpenSSL 命令时都需要重复输入这些参数。

  2. 定义证书和密钥的配置信息:
    openssl.conf 文件可以包含创建证书和密钥时需要的一些基本信息,如国家、州/省、城市、组织名称、常用名等。这些信息在生成证书时会自动填充。

  3. 定义证书扩展字段:
    openssl.conf 可以用来定义证书的扩展字段,如 basic constraints、key usage、extended key usage 等。这些扩展字段可以描述证书的用途和限制。
    4 定义 CA 证书和 CRL 的配置:
    如果你需要建立一个证书authority (CA),openssl.conf 文件可以用来定义 CA 证书、CRL (证书吊销列表) 的相关设置。

  4. 定义自定义的 OpenSSL 配置:
    openssl.conf 文件还可以用来定义 OpenSSL 内部的一些配置,如引擎、OCSP 设置、CRL 更新等。这些高级配置选项可以根据需求进行自定义。

    总的来说,openssl.conf 文件是 OpenSSL 的主要配置文件,它可以帮助你更方便地管理证书、密钥和 CA 的相关设置。对于复杂的 PKI 基础设施来说,合理地配置 openssl.conf 文件是很重要的。

使用 OpenSSL 生成证书文件时,是否需要使用 openssl.conf 配置文件取决于具体的使用场景和需求。
情况如下:

  1. 默认情况下不需要使用 openssl.conf:
    如果你只是想生成一个简单的自签名证书,并不需要特殊的配置,那么可以直接使用 OpenSSL 的命令行工具,不需要使用 openssl.conf 配置文件。
  2. 需要使用 openssl.conf 配置文件的情况:
    如果你需要生成更复杂的证书,比如 CA 证书、中间 CA 证书、服务器证书等,并且需要设置一些特殊的选项,如证书有效期、密钥长度、扩展字段等,那么使用 openssl.conf 配置文件会更加方便。
    如果你需要生成证书时遵循某些标准或组织的要求,如 X.509 标准、IETF 的 RFC 文档等,那么使用 openssl.conf 文件可以帮助你更好地满足这些要求。
    总的来说,如果你的需求比较简单,生成一个自签名证书就可以了,那么不使用 openssl.conf 也可以。但如果你需要生成更复杂的证书,或者需要遵循某些标准,那么使用 openssl.conf 配置文件会更加方便和可控。

生成三级证书链
在生成三级证书中一般使用该配置文件,在生成中间证书的时候会使用到,应该也是可以通过命令来是实现,下面给出的命令行是采用了使用配置文件生成中间证书的;
首先生成根证书和对应的私钥

openssl req -newkey rsa:2048 -nodes -keyout rootCA.key -x509 -days 365 -out rootCA.crt

生成中间证书的私钥和CSR

openssl req -new -nodes -keyout intermediate.key -out intermediate.csr

和用户证书不同的是,中间证书需要在证书的basicConstraints中设置CA:true标签,以标明该证书属于证书机构的证书,可以用于签发和验证用户证书。而openssl x509命令不能设置basicConstraints命令,因此我们需要采用openssl ca命令,该命令实现了一个简单的证书机构。
openssl ca 命令需要采用一个配置文件来配置生成证书的相关参数。我们创建一个intermediateCA.conf文件,其内容如下:

[ ca ]
default_ca = intermediate_ca
[ intermediate_ca ]
dir = .
private_key = $dir/rootCA.key
certificate = $dir/rootCA.crt
new_certs_dir = $dir/
serial = $dir/crt.srl
database = $dir/db/index
default_md = sha256
policy = policy_any
email_in_dn = no
[ policy_any ]
domainComponent = optional
countryName = optional
stateOrProvinceName = optional
localityName = optional
organizationName = optional
organizationalUnitName = optional
commonName = optional
emailAddress = optional
[ ca_ext ]
keyUsage                = critical,keyCertSign,cRLSign
# 注意这里设置了CA:true,表明使用该配置生成的证书是CA证书,可以用于签发用户证书
basicConstraints        = critical,CA:true
subjectKeyIdentifier    = hash
authorityKeyIdentifier  = keyid:always

由于openssl ca命令实现了一个简单的证书机构,会使用一个文本数据库来记录生成的证书,我们需要生成该数据库索引文件。

mkdir db
touch db/index

使用intermediateCA.conf生成中间证书。

openssl ca -config intermediateCA.conf -days 365 -create_serial -in intermediate.csr -out intermediate.crt -extensions ca_ext -notext

生成Alice的私钥和CSR

openssl req -new -nodes -keyout Alice.key -out Alice.csr

生成Alice的用户证书。

openssl x509 -req -in Alice.csr -CA intermediate.crt -CAkey intermediate.key -CAcreateserial -out Alice.crt

对Alice的用户证书进行验证,验证时需要同时指明根证书和中间证书。

openssl verify -CAfile rootCA.crt -untrusted intermediate.crt Alice.crt

我们可以把根证书和中间证书的内容一起放到一个证书链文件中,然后使用该证书链文件来验证用户证书。

cat rootCA.crt intermediate.crt > chain.crt
openssl verify -CAfile chain.crt Alice.crt

以上生成证书过程取自:https://www.zhaohuabing.com/post/2020-03-19-pki/

SHYMLB
关注
  • 25
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OpenSSL
u010230019的博客
11-07 2443
openssl
openssl配置文件
健忘16的博客
02-15 1743
root@DESKTOP-JP3S3AN:/home/wsl# cat /usr/lib/ssl/openssl.cnf # # OpenSSL example configuration file. # This is mostly being used for generation of certificate requests. # # Note that you can include other files from the main configuration # file using th.
openssl一套证书-配置文件和证书签发
liudong200618的博客
05-08 950
x509 openssl csr
openssl config文档翻译
大草的博客
04-17 1243
openssl config文档翻译
openssl.cnf 参数说明
最新发布
m0_51514815的博客
05-23 1358
openssl.cnf的文件内容包括了三大部分: 默认的文件配置、 证书请求配置及 证书签发配置。除此之外还可以配置X.509证书的扩展项,在使用OpenSSL函数库时也可以使用配置机制第一段是默认段,一般没有section_name,但不是一定没有,可以自定义有名称的。默认段中定义的是一些公共属性,当搜索一个给定名称的段时,将首先搜索有名称的段,当搜索不到匹配的段后会搜索默认段。以下是默认段的内容。
openssl.cnf_文件
01-18
- `openssl.cnf` 通常包含默认的路径设置,如 `RANDFILE` 用于指定随机数种子文件,`openssl_conf` 指向 OpenSSL 应用程序的配置结构。 - `openssl.cnf` 还可以定义全局变量,如 `default_md` 指定默认的消息摘要...
Openssl.cnf文件.rar
07-31
- **复制到正确目录**:当OpenSSL提示缺少openssl.cnf文件时,应将其放在OpenSSL库的配置路径下,通常是系统环境变量`OPENSSL_CONF`指定的路径或默认的系统目录。 - **自定义配置**:根据需求,可以通过修改...
windows下生成https证书完整例子(文件里有openssl.cnf).docx
02-22
使用openssl 在windows下生成https证书完整例子(附件文件里有openssl.cnf) 1.下载openssl 2.运行一下命令,生成密钥key 3.创建证书的申请文件 4.创建一个CA证书 ...6、Apache加载证书,修改httpd.conf文件
windows_openssl.zip
10-28
2. **生成证书**:运行命令行,使用OpenSSL生成一对密钥文件——私钥文件(如:`server.key`)和自我签署的证书文件(如:`server.crt`)。这可以通过以下命令完成: ``` openssl req -newkey rsa:2048 -nodes -...
openssl-1.1.1a.tar.gz
12-15
文件openssl-1.1.1a.tar.gz 格式:*.tar.gz 来源:下载自官网 www.openssl.org 说明:于2018年12月下载,是当时的最新版、最高版 使用方法(亲测留档):以下为Ubuntu16.04.5上亲测,卸载并安装新版openssl # ...
openssl config配置编译选项
hallyz的博客
05-23 2697
openssl config 配置编译选项 全局选项 第一类是全局性选项: --openssldir=OPENSSLDIR 安装目录,默认是 /usr/local/ssl 。 --prefix=PREFIX 设置 lib include bin 目录的前缀,默认为 OPENSSLDIR 目录。 --install_prefix=DESTDIR 设置安装时以此目录作为"根"目录,通常用于打包,默认为空。 zlib zlib-dynamic no-zlib 使用静态的zlib压缩库、使用动态的zlib压缩库、
openssl 编译
ooyyee的专栏
06-04 536
./config--prefix=/usr/local--openssldir=/usr/local/ssl make&&makeinstall ./config-dshared--prefix=/usr/local--openssldir=/usr/local/ssl makeclean make&&makeinstall 先安装静态库版本,再安装动态库版本。安装目录为/usr/local下。安装...
OpenSSL配置文件
ayang1986的专栏
09-08 9385
许多OpenSSL命令(例如,req和ca)带有一个-config参数用于指定openssl配置文件的位置. 本节提供配置文件格式的简短描述和它怎么应用于req和ca命令.本节结尾列出了一个配置文件的例子. openssl.cnf配置文件由许多节(section)组成,这些节指定了一系列由openssl命令使用的默认值. [req] 变量 req节包含下列设置: defaul
Openssl v3证书 配置文件
shareinfo2018
09-17 1529
openssl
openssl安装配置
weixin_33943347的博客
04-22 162
安装openssl # tar –zxvf openssl # cd openssl # ./config --prefix=/usr/local/openssl # make # make install 加密解密 传统加密(对称加密) openssl enc –ciphername(加密算法) –k password(口令) –in file(被加...
OpenSSL学习(二):OpenSSL配置文件
weixin_34301132的博客
08-12 718
为什么80%的码农都做不了架构师?>>> ...
08.openssl编程——配置文件
艾小小雨的博客
01-16 766
8.1    概述openssl采用自定义的配置文件获取配置信息。段信息,段信息由[xxx]来表示,其中xxx为段标识;属性-值信息,表示方法为a=b,这种信息可以在一个段内页可以不属于任何段。典型配置文件为apps/openssl.cnf(同时该文件也是openssl最主要的配置文件)  # OpenSSL example configuration file.oid_section ...
openssl.conf authorityKeyIdentifier
05-14
OpenSSL配置文件 openssl.conf 中,authorityKeyIdentifier 是一个用于指定证书颁发机构 (CA) 标识符的选项。它用于在证书链中标识证书的颁发者。具体来说,authorityKeyIdentifier 选项可以指定证书颁发机构的公钥信息、证书序列号、颁发机构名称等信息,以便在验证证书链时确定证书的有效性。 例如,下面是一个示例 openssl.conf 中的 authorityKeyIdentifier 选项: ``` [ v3_ca ] basicConstraints = CA:TRUE subjectKeyIdentifier = hash authorityKeyIdentifier = keyid:always,issuer:always ``` 该配置中,authorityKeyIdentifier 指定了使用 keyid 和 issuer 作为证书颁发机构的标识符,使其始终可用。这将有助于在验证证书链时确定证书的颁发者和有效性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值