OpenSSL的一些知识

已于 2023-02-15 14:30:11 修改
阅读量351 收藏
点赞数
分类专栏: 更多 文章标签: openssl
于 2021-01-17 18:04:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013244720/article/details/112755223
版权

OpenSSL的一些知识

  • 注:jre 内部实现绑定的 ca 就是 sun 公司(的秘钥和自签名 ca-crt)
  • 注:keytool 工具也默认使用 sun 公司做为 ca,故 keytool 会直接用 sun 公司 crt 签名生成我们自己的 ca-crt,这样我们就可以把生成的 ca-crt 用于 jre 目录和 tomcat 目录中用于安全认证
  • 注:keytool aa.keystore=aa-key.pem=aa.key aa.cer=aa.crt

名词

  • CSR=certificate signing request
    身份证申请,即包含公钥和 ID(身份证号码,或者域名)的组合;单纯的 CSR 都是明文的,因为 CSR 只是公钥和 ID 的组合
  • CA=certificate authority
    证书颁发机构,通常是一个有公信利的机构或组织
  • 数字签名(digital signature,简称 signature )
    由 CSR 经过 CA 对应的私钥加密后的结果
  • CRT=CA signed certificate
    经过 CA 签署的身份证:CSR(公钥+ID,是明文)+数字签名
  • 自签名 CRT
    CA 给自己的公钥和 ID 签名生成的 CRT,公开给第三方,用于验证自己给第三方签名生成的 CRT

公式(A + B 代表 A 和 B 组合,A * B 代表 A 通过秘钥 B 加密)

X-CSR = X-CK + X-ID:明文
X-DS = X-CK * CA-PK:根据 X-CSR 获取 X-CK
X-CRT = X-CSR + X-DS
X-CRT = (X-CK + X-ID) + (X-CK * CA-PK)

CA-CSR = CA-CK + CA-ID:明文
CA-DS = CA-CK * CA-PK:根据 CA-CSR 获取 CA-CK
CA-CRT = CA-CSR + CA-DS(自签名是公开的)
CA-CRT = (CA-CK + CA-ID) + (CA-CK * CA-PK)

验证 X-CRT 可以通过 CA-CRT 验证

  • 先从 CA-CRT 的 CA-CSR 明文获取 CA-CK
  • 再通过 CA-CK 解密 CA-DS 查看解密结果是否与 CA-CRT 中的 CA-CSR 明文一致
  • 再通过 CA-CK 解密 X-CRT 的 X-DS 查看解密结果是否与 X-CRT 中的 X-CSR 明文一致

例子

  • 生成 server 公钥-私钥(秘钥对):server-key.pem
openssl genrsa \
    -out server-key.pem 2048
  • 根据 server-key.pem 中的公钥生成 CSR:server-csr.pem
openssl req \
    -nodes \
    -new \
    -key server-key.pem \
    -subj "/CN=localhost" \
    -out server-csr.pem
  • 生成 CA 公钥-私钥(秘钥对):ca-key.pem
openssl genrsa \
    -out ca-key.pem 2048
  • 生成 CA 的身份证:ca-crt.pem
openssl req \
    -x509 \
    -new \
    -nodes \
    -key ca-key.pem \
    -days 10000 \
    -out ca-crt.pem \
    -subj "/CN=test-ca"
  • 生成 server 的身份证(CRT):server-crt.pem
openssl x509 \
    -req \
    -in server-csr.pem \
    -CA ca-crt.pem \
    -CAkey ca-key.pem \
    -CAcreateserial \
    -out server-crt.pem \
    -days 365

签署 server-csr.pem 得到 server 的身份证(server-crt.pem)的过程中,不仅需要 CA 的秘钥 ca-key.pem,还需要 CA 的身份证 ca-crt.pem

格式(不同加密套件后缀可能不同,但作用是一样的)

  • pem:存储的格式
  • key:公钥-私钥(秘钥对)
  • csr:公钥+ID
  • crt:csr+签名
  • srl:CAserial,生成 server-csr.pem 时生成

例子

  • aa-key.pem=aa.key
  • aa-csr.pem=aa.csr
  • aa-crt.pem=aa.crt
  • aa-srl.pem=aa.srl
  • java.keystore=java-key.pem=java.key
  • java.cer=java-crt.pem=java.crt

keystore truestore

  • keystore 私钥,服务端使用
    • keytool -genkeypair -alias certificatekey -keyalg RSA -validity 365 -keystore shfqkeystore.jks
  • 导出公钥
    • keytool -export -alias certificatekey -keystore shfqkeystore.jks -rfc -file shfqcert.ce
  • truestore 客户端使用
    • Keytool -import -alias certificatekey -file shfqcert.cer -keystore
    • keytool –import –file C:/certificate/hello.cer -keystore C:/certificate/hello.keystore
u013244720
关注
专栏目录
Linux升级openssl解决方案
weixin_43178406的博客
01-01 3万+
本文主要介绍了Linux升级openssl解决方案,希望能对使用Linux的同学们有所帮助。成功升级后的截图如下所示: 文章目录 1. 问题描述 2. 解决方案
delphi7调用openssl修正版
11-29
在IT行业中,开发人员经常需要在不同的编程语言和库之间进行集成,以便利用特定库的功能。...通过理解和应用上述知识点,开发者可以成功地在Delphi 7项目中使用OpenSSL 1.0.1b版本,实现安全的RSA加密功能。
https证书生成工具(openssl和jre(自带keytool)) for windows.rar
05-28
openssl和keytool都是生成https证书的工具,可以在windows上安装使用,附带一些操作说明,希望可以帮助大家
深入浅出 SSL/CA 证书及其相关证书文件(pem、crt、cer、key、csr)
热门推荐
曹立禄的个人博客
03-30 2万+
与手动从网站收集数据相比,爬虫可以为我们节省很多时间,对于爬虫的每次请求而言,这相当于 AWS Lambda 的每次函数的运行。AWS Lambda 是一种将脚本部署到云的简单且价格低廉的服务,如果我们要实现在 AWS Lambda 上运行 selenium 实现数据的爬取,我们需要解决如何在 AWS Lambda 函数中安装 Chrome 浏览器?同时,AWS Lambda 的主要限制是超时限制,即 15 分钟,部署包不能超过 250 MB(但使用容器最多可接受10 GB)。
openssl常用命令
最新发布
weixin_46383092的博客
06-22 326
CAcreateserial:这个选项用于指示 OpenSSL 在指定的序列号文件不存在时创建一个新的序列号文件,并将其命名为指定的 CA 证书文件的名称加上 .srl 后缀。例如,如果 CA 证书文件是 ca.crt,那么序列号文件将被命名为 ca.srlOpenSSL 是一个功能强大的工具,支持广泛的加密操作。
编译使用win64版 TASSL1.1.1k
qq_43229894的博客
11-08 1535
在windows64下编译TIASSL1.1.1k,生成win64下的静态库和动态库。使用天安修改的Openssl,生成加密证书和签名证书。支持SM2、SM3、SM4,支持双证书生成。
http系列---OpenSSL生成根证书CA及签发子证书
lipviolet的博客
11-02 1万+
系统:CentOS7 32位 目标:使用OpenSSL生成一个CA根证书,并用这个根证书颁发两个子证书server和client。 先确保系统中安装了OpenSSL,若没安装,可以通过以下命令安装: sudo yum install openssl 修改OpenSSL的配置 安装好之后,定位一下OpenSSL的配置文件openssl.cnf: locate openssl.cnf 如图,我这里的目录是/etc/pki/tls/openssl.cnf。 修改配置文件,修改其中的dir变量,重新设置SSL
Windows下用OpenSSL生成CA根证书及签发server端证书
白袍小将的博客
08-14 9245
一、先下载编译好的OpenSSL程序,并展开后放在E:盘,目录结构如下所示 目前放在的目录为:E:\OpensslX64 二、打开一个CMD控制台窗口,设置好openssl.cnf路径 用以下控制台命令进入到E:\OpensslX64\bin,并设置好openssl.cnf路径。 E: cd E:\OpensslX64\bin set OPENSSL_CONF=E:\OpensslX64\conf\openssl.cnf 三、在当前目录E:\OpensslX64\bin 里创建两个...
OpenSSL3.0.12
11-12
OpenSSL 3.0.12 版本中,我们可以关注以下几个关键知识点: 1. 安全性增强:每次 OpenSSL 的更新都着重于修复已知的安全漏洞。OpenSSL 3.0.12 也不例外,它可能包含了针对新发现或潜在威胁的安全补丁。这确保了...
国密openssl安装包
11-03
在本文中,我们将详细探讨国密OpenSSL的安装过程以及相关知识点。 1. **国密算法介绍** - SM2:一种基于椭圆曲线公钥密码算法,用于非对称加密和数字签名。 - SM3:非对称密码算法,主要用于哈希函数,生成消息...
openssl-OpenSSL_1_1_1d.tar.gz
10-19
"openssl-OpenSSL_1_1_1d.tar.gz" 是一个包含 OpenSSL 1.1.1d 版本的压缩文件,它遵循了通常的命名规范,其中 "openssl" 表示这是一个与 OpenSSL 相关的软件,"OpenSSL_1_1_1d" 指的是 OpenSSL 的特定版本号,即 ...
openssl 证书解析
andylau00j的专栏
06-14 3171
简单实用例子 openssl 解析x509证书 命令行打印证书细节: openssl x509 -noout -text -in cert.crt sudo apt-get install libssl-dev #debian based yum install openssl-devel #redhat based compile...
OpenSSL 证书
u010249118的博客
10-11 5829
X.509 OpenSSL 证书
openssl从证书中提取公钥
weixin_42098322的博客
06-27 4029
如何用openssl从证书中提取公钥
SSL/CA 证书及其相关证书文件(pem、crt、cer、key、csr)
RayPick的博客
08-25 7837
SSL 证书是数字证书的一种,类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上,也称为服务器证书。SSL 证书只有正确安装到 Web 服务器,才能实现客户端与服务器间的 https 通信。由于涉及到不同类型 Web 服务器的配置,需要在证书签发后,根据实际服务器环境来安装证书。CA 是一种电子商务认证授权机构,也称为电子商务认证中心,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。其发布的证书就是 CA 证书。
OpenSSL生成根证书CA及签发子证书
weixin_33950035的博客
04-01 1052
为什么80%的码农都做不了架构师?>>> ...
OpenSSL部分文档翻译
zhangxiangui40542的专栏
04-28 864
OpenSSL部分文档翻译 1. man req (查看req详细用法) req命令主要是用来以PKCS#10格式创建和处理证书请求。例如用作根证书认证机构root CAs的话,它也可以用来创建自签名证书openssl req 参数解释: -in filename 指定该项标识从文件中读取证书请求,否则从标准输入读取请求。只有当创建选项 `-new `和 `-newkey`
OPENSSL 颁发证书出错
08-14 3608
使用Openssl为某个人或者某个服务器进行颁发证书时,出现意外的错误。 openssl genrsa -des3 -out aa.key 1024 //为用户创建一个私钥 openssl req -new -key aa.key -out aa.csr //生成一个证书请求 openssl x509 -req -in aa.csr -out aa.crt -CA ca.crt
使用openssl创建并签署SSL/TLS证书
走在成长的路上
01-28 2261
希望在生成 SSL/TLS 证书之前,您已经安装有 openssl 以及对 SSL/TLS 有了初步的了解。 概述 本文主要讲述CA的私钥和x509自签名证书的生成,服务器/客户端的私钥和CSR的生成,以及CA对服务器/客户端的CSR签名操作。初始文件包括server-ext.cnf、client-ext.cnf以及gen.sh,相关内容如下: server-ext.cnf subjectAltName=DNS:*.study.com,DNS:*.study.org,IP:0.0.0.0 client-e
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值