OpenSSL使用手册

最新推荐文章于 2023-12-29 16:49:02 发布
最新推荐文章于 2023-12-29 16:49:02 发布
阅读量604 收藏 1
点赞数 1
分类专栏: 网络安全 linux 文章标签: pki openssl https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011238098/article/details/111472621
版权

引用页

创建

创建 RSA

# 密钥长度为2048位,且使用AES 128长度密钥加密,提示后输入密钥,如果不需要加密则删除参数 -aes128
openssl genrsa -aes128 -out test.key 2048
openssl rsa -in test.key -pubout -out test.pub

#Show content in key
openssl rsa -text -in test.key

创建 DSA

openssl dsaparam -genkey 2048 | openssl dsa -out test.key -aes128 

#create ECDSA
openssl ecparam -genkey -name secp256r1 | openssl ec -out test.key -aes128

创建证书

  • pkcs8与传统RSA的区别在于:传统rsa内容开头为BEGIN RSA PRIVATE KEY,pkcs8 则为:PRIVATE KEY
  • 通过req直接生成的私钥为pkcs8格式,使用genrsa生成为传统秘钥格式
#创建自签名证书,时间为三年,RSA密钥长度2048位,不加密私钥文件,且设置证书CN等信息
openssl req -x509 -new -days 10950 -newkey rsa:2048 -keyout CA.key -nodes -out CA.crt -subj "/C=GB/L=London/o=Feisty Duck Ltd/CN=www.ca.com"

#用CA证书请求新证书
openssl req -new -newkey rsa:2048 -keyout test.key -nodes -out test.csr -subj "/CN=example.com"
openssl x509 -req -days 10950 -in test.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out test.crt

#创建证书时使用扩展参数文件,将扩展参数应用到创建证书中
openssl req -new -newkey rsa:2048 -keyout client.key -nodes -out client.csr -subj "/CN=example.com"
openssl x509 -req -days 10950 -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt -extfile test.txt


#将证书请求重新生成证书
openssl x509 -x509toreq -in test.crt -out test.csr -signkey test.key

#查看证书详情
openssl req -text -in test.csr -noout 
openssl x509 -text -in test.crt -noout

转换

将二进制类型转成PEM格式

# 二进制转pem明文
openssl x509 -inform der -in certificate.cer -outform pem -out certificate.crt
# pem明文转二进制
openssl x509 -outform der -in certificate.pem -out certificate.der

证书套件打包(pkcs12)

# 将证书与私钥打包进入server.pfx文件中
openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt
# 解包
openssl pkcs12 -in server.pfx -nodes -out server.pem
openssl rsa -in server.pem -out server.key
openssl x509 -in server.pem -out server.crt

# 导出部分文件
openssl pkcs12 -in server.pfx -nocerts -out server.key -nodes
openssl pkcs12 -in server.pfx -nokeys -clcerts -out server.crt
# 导出证书连
openssl pkcs12 -in server.pfx -nokeys -cacerts -out server-chain.crt

转换传统证书<=>PKCS8

# 将传统私钥转换成pkcs8
openssl pkcs8 -topk8 -in server.key -inform pem -out server.pem -outform pem -nocrypt
# 将pkcs8转换成传统公钥
openssl rsa -in newkey.pem -out newkey.pem

从证书中提取公钥

openssl x509 -pubkey -in server.cer -inform DER -outform PEM -noout

创建自签名证书脚本

openssl genrsa -out /tmp/certs/ca.key 2048
openssl req -new -x509 -nodes -key /tmp/certs/ca.key -out /tmp/certs/ca.crt -subj "/CN=abc.cn" -days 10950
openssl genrsa -out /tmp/certs/client.key 2048
openssl req -new -key /tmp/certs/client.key -out /tmp/certs/client.csr -subj "/CN=abc.cn"
openssl x509 -req -in /tmp/certs/client.csr -CA /tmp/certs/ca.crt -CAkey /tmp/certs/ca.key -CAcreateserial -days 10950 -out /tmp/certs/client.crt
openssl genrsa -out /tmp/certs/server.key 2048
openssl req -new -key /tmp/certs/server.key -out /tmp/certs/server.csr -subj "/CN=${domain_name}"
openssl x509 -req -in /tmp/certs/server.csr -CA /tmp/certs/ca.crt -CAkey /tmp/certs/ca.key -CAcreateserial -days 10950 -out /tmp/certs/server.crt

OPENSSL 测试案例

查询可用的加密算法

openssl ciphers -v 'ECHDE AES'

检测指定网站的证书信息

openssl s_client -connect www.changel.cn:443

#测试明文升级到TLS的协议
openssl s_client -connect smtp.exmail.qq.com:25 -starttls smtp

#禁用TLS指定协议
openssl s_client -connect www.changel.cn:443 -no_ssl3 -no_tls1 -no_tls1_1 -no_tls1_2

#输出网站的证书,加上-showcerts 如果你需要整个的证书链
echo | openssl s_client -connect www.changel.cn:443 2>&1 | sed --quiet '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > changel.crt

#测试是否支持指定的秘钥套件
openssl s_client -connect www.changel.cn:443 -cipher ECDHE-RSA-AES128-GCM-SHA256

#测试连接OCSP,证书链生成看如上命令,首先查询ocsp地址
openssl x509 -noout -ocsp_uri -in changel.crt
openssl ocsp -issuer changel-chain.crt -cert changel.crt -url http://ocsp.comodoca.com -CAfile changel-chain.crt

#测试是否支持OCSP stapling,当你得到OCSP response数据则说明服务器支持
openssl s_client -connect www.changel.cn:443 -status

#检查证书是否被吊销,下载并检查
openssl x509 -in changel.crt -noout -text | grep crl
openssl crl -in ssl.crl -inform der -text -noout

安全检查

#检查DH 密钥信息
openssl s_client -connect www.changel.cn:443 -cipher kEDH

#TLS heartbleed,input "B",if you don't get equal length in response,heart will blood
openssl s_client -connect www.changel.cn:443 -tlsextdebug -msg

#BEAST bug check
echo | openssl s_client -connect www.changel.cn:443 -cipher 'RC4'

JKS 转换

#查看证书内容
keytool -list -v -keystore test.jks  -storepass abcdefg

#查看证书内容,格式为RFC
keytool -list -rfc -keystore test.jks -storepass abcdefg

#从jks中提取pfx文件,需要制定jks密码和pfx解密密码,还需要制定pfx别名
keytool -v -importkeystore -srckeystore test.jks -srcstoretype jks -srcstorepass abcdefg -destkeystore server.pfx -deststoretype pkcs12 -deststorepass aliases -destkeypass 123456

#将pfx打包到jks中
keytool -importkeystore -srckeystore  server.pfx -srcstoretype pkcs12 -destkeystore test.jks -deststoretype JKS
Ghost_zhipeng
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
OpenSSL使用指南.pdf
07-11
OpenSSL使用指南.pdf 学习资料 复习资料 教学资源
openssl开发手册.chw
03-23
openssl开发手册,开发帮助支持文件
openssl开发手册
08-22
openssl开发手册
openssl 使用手册.doc
12-31
openssl 使用手册 学习openssl的朋友可以看看
openssl简明使用手册
10-20
本文简要介绍了使用openssl来生成CA证书、申请证书、颁发证书以及撤销证书的过程,包括了RSA算法和DSA算法
OpenSSL之七:openssl.cnf
wzfgd的博客
11-19 1万+
openssl.cnf openssl.cnf是OpenSSL的主配置文件,用户可以在OpenSSL源代码apps目录下找到它。目前openssl.cnf用于req、ca和X509等指令中,当然所有使用openssl.cnf的指令,都可以通过-config来指定配置文件,否则默认使用openssl.cnf。 openssl.cnf的文件内容包括了三大部分:默认的文件配置、证书请求配置及证书签发配置。除此之外还可以配置X.509证书的扩展项,在使用OpenSSL函数库时也可以使用配置机制。 # # OpenS
grpc、https、oauth2等认证专栏实战6:openssl配置文件openssl.cnf介绍
码二哥的技术池
08-08 2210
最新版本 https://github.com/openssl/openssl/blob/master/apps/openssl.cnf。4  grpc、oauth2、openssl、双向认证、单向认证等专栏文章目录。4、openssl.cnf 属性解释?1、如何使用指定的openssl.cnf配置文件呢?1、如何使用指定的openssl.cnf配置文件呢?4.1、openssl.cnf里配置属性的语法介绍。2、默认openssl.cnf配置文件的位置?3、openssl.cnf主要包括几部分?.....
opensslopenssl.cnf配置文件详解
yeyuningzi的博客
12-29 1961
opensslopenssl.cnf配置文件详解
转:Linux openssl 生成证书的详解
zfr_xuexiao66的博客
09-10 1204
本文转载自:https://blog.csdn.net/qq_15092079/article/details/82149807 感谢作者的付出。 Linux openssl 生成证书的详解 叶梦_ 2018-08-28 20:55:03 33609 已收藏 38 分类专栏: openssl 版权 目录 前言 1 概念 2 环境 3 创建根证书CA 4 颁发证书 4.1 在需要证书的服务器上,生成证书签署请求 4.2 在根证书服务器上,颁发证书 5 测试 5.1
OpenSSL生成自签名证书(Linux)
一杯咖啡的渗透记忆
09-23 2899
一般自签名证书 OpenSSL生成的自签名证书,携带密钥用法: 具体的操作步骤如下: 涉及到命令: openssl genrsa -out root.key 1024 openssl req -new -out root-req.csr -key root.key -keyform PEM openssl x509 -req -extfile /etc/ssl/openssl.cnf -extensions v3_req -in root-req.csr -out root-c
openssl 命令手册
小田的笔记簿
02-26 1343
openssl 命令手册 文章目录openssl 命令手册CACIPHERSCRLCRL2PKCS7DGSTDSADSAPARAMECECPARAMENCERRSTRGENDSAGENPKEYGENRSANSEQOCSPPASSWDPKCS7PKCS8PKCS12PKEYPKEYPARAMPKEYUTLPRIMERANDREQRSAUTLS_CLIENTSESS_IDSMIMESPEEDSPKAC...
TLS-openssl基本指令使用手册
青牛
06-05 3049
openssl是linux默认安装的实现了SSL/TLS协议和几乎所有加密算法的工具包,功能十分强大而且是开源的。openssl包括libcrypto、libssl,libcrypt实现加密算法,libssl是基于会话的TLS/SSL的库。本文主要是openssl的基本使用手册(CenterOS 7) 一、查看openssl安装的版本 # openssl version -a ...
OpenSSL中文手册之命令行详解(未完待续)
热门推荐
liao20081228的博客
08-14 2万+
1 标准命令  查看帮助的办法:openssl 命令 -h。1.1 标准命令 命令 功能 备注 证书相关 req PKCS10 X.509证书签名请求(CSR)管理。 申请证书 pkcs7 PKCS7加密消息语法,各种消息存放的格式标准;用于处理DER或者PEM格式的pkcs7文件 消息格式 pkcs12 PKCS#12数据管理。工具,用于生
Openssl应用编程
fyang的专栏
02-12 7676
对于openssl应用编程这方面的详细文档很少,我是通过认真分析openssl源码包中的示例代码来学习并结合man文档来理解它的基本结构的。SSL通讯模型为标准的C/S结构,除了在TCP层之上进行传输之外,与一般的通讯没有什么明显的区别。下面我对用SSL建立安全的TCP连接的流程作一简单分析。 一、数字证书准备 通常情况下我们的服务端需要 服务器端的私钥server.key文件 服务器端证书server.crt文件 对于双向认证连接,要用到 客户端的私钥client.key文件 客户器端证书c
openssl java使用手册_OpenSSL用法详解
weixin_39630855的博客
02-16 1444
OpenSSL 是一个开源项目,其组成主要包括一下三个组件:openssl:多用途的命令行工具libcrypto:加密算法库libssl:加密模块应用库,实现了ssl及tlsopenssl可以实现:秘钥证书管理、对称加密和非对称加密。1、对称加密对称加密需要使用的标准命令为enc,用法如下:openssl enc -ciphername [-in filename] [-out filena...
Openssl v3证书 配置文件
shareinfo2018
09-17 1499
openssl
(12) OpenSSL主配置文件openssl.cnf
weixin_30338743的博客
10-03 805
1.man config 该帮助文档说明了openssl.cnf以及一些其他辅助配置文件的规范、格式及读取方式。后文中的所有解释除非特别指明,都将以openssl.cnf为例。 [root@localhost ~]# whatis config Config (3pm) - access Perl configuration information config (5ssl) ...
使用JDK自带keytool生成证书
kunlyy的专栏
07-10 1万+
Java keytool 的介绍 keytool 命令介绍 keytool 的使用
通过openssl生成pfx证书
adminstate的博客
02-21 4500
使用openssl生成pfx文件,及在项目中的使用
openssl使用手册
最新发布
04-12
下面是一些常用的OpenSSL命令和使用手册的介绍: 1. 生成RSA密钥对: openssl genrsa -out private.key 2048 openssl rsa -in private.key -pubout -out public.key 2. 生成自签名证书: openssl req -new -x...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值