openssl的介绍和使用

最新推荐文章于 2023-08-29 14:53:56 发布

weixin_33912638

最新推荐文章于 2023-08-29 14:53:56 发布

阅读量394

点赞数

原文链接：https://segmentfault.com/a/1190000014963014

版权

openssl简介

OpenSSL 是一个开源项目，其组成主要包括一下三个组件：

openssl：多用途的命令行工具
libcrypto：加密算法库
libssl：加密模块应用库，实现了ssl及tls

openssl可以实现：秘钥证书管理、对称加密和非对称加密更多简介和官网。

指令

平时我们使用openssl最多的莫过于使用指令了，而最为常见的几个指令如下：

genrsa 生成RSA参数
req
x509
rsa
ca

`genrsa`简介

平时主要用来生成私钥，选择使用的算法、对称加密密码和私钥长度来生成私钥。

基本用法：

openssl genrsa [args] [numbits]

其中常见的参数：【更多参数查看：openssl genrsa -help】

args1 对生成的私钥文件是否要使用加密算法进行对称加密: 
    -des : CBC模式的DES加密 
    -des3 : CBC模式的3DES加密 
    -aes128 : CBC模式的AES128加密 
    -aes192 : CBC模式的AES192加密 
    -aes256 : CBC模式的AES256加密 
args2 对称加密密码
    -passout passwords
    其中passwords为对称加密(des、3des、aes)的密码(使用这个参数就省去了console交互提示输入密码的环节) 
args3 输出文件
    -out file : 输出证书私钥文件 
[numbits]: 密钥长度，理解为私钥长度

生成一个2048位的RSA私钥，并用des3加密(密码为123456)，保存为server.key文件

openssl genrsa -des3 -passout pass:123456 -out server.key   1024 
// -des3 是第一个参数args1；  
// -passout pass:123456 是第二个参数写法 args2
// -out server.key 第三个参数args3；   
// 2048 最后一个[numbits]参数

`req`

req的基本功能主要有两个：生成证书请求和生成自签名证书，当然这并不是其全部功能，但是这两个最为常见；

常见使用方法：

openssl req [args] outfile

主要参数：【更多参数查看：openssl req -help】

args1 是输入输入文件格式：-inform arg
    -inform DER 使用输入文件格式为DER
    -inform PEM 使用输入文件格式为PEM
args2 输出文件格式:-outform arg   
    -outform DER 使用输出文件格式为DER
    -outform PEM 使用输出文件格式为PEM
args3 是待处理文件 
    -in inputfilepath
args4 待输出文件
    -out outputfilepath
args5 用于签名待生成的请求证书的私钥文件的解密密码
    -passin passwords       
args6 用于签名待生成的请求证书的私钥文件
    -key file
args7指定输入密钥的编码格式 -keyform arg  
    -keyform  DER
    -keyform  NET
     -keyform  PEM
args8 生成新的证书请求 
    -new

args9输出一个X509格式的证书,签名证书时使用 
     -x509          
args10使用X509签名证书的有效时间  
    -days  // -days 3650 有效期10年
 
args11生成一个bits长度的RSA私钥文件，用于签发【生成私钥、并生成自签名证书】 
    -newkey rsa:bits 
  
args12设置HASH算法-[digest]【生成私钥指定的hash摘要算法】
    -md5
    -sha1  // 高版本浏览器开始不信任这种算法
    -md2
    -mdc2
    -md4
args13指定openssl配置文件,很多内容不容易通过参数配置，可以指定配置文件
    -config filepath   
args14 显示格式txt【用于查看证书、私钥信息】
    -text

使用的案例：利用私钥生成证书请求csr

openssl req -new -key server.key -out server.csr

使用案例：利用私钥生成自签名证书

openssl req -new -x509 -days 3650 -key ca.key -out ca.crt

`x509`

x509是一个功能很丰富的证书处理工具。可以用来显示证书的内容，转换其格式，给CSR签名等X.509证书的管理工作；

用法如下：

openssl x509 [args]

参数如下：【更多参数查看：openssl x509 -help】

args1 是输入输入文件格式：-inform arg
    -inform DER 使用输入文件格式为DER
    -inform PEM 使用输入文件格式为PEM
args2 输出文件格式:-outform arg   
    -outform DER 使用输出文件格式为DER
    -outform PEM 使用输出文件格式为PEM
args3 是待处理X509证书文件 
    -in inputfilepath
args4 待输出X509证书文件
    -out outputfilepath
args5表明输入文件是一个"请求签发证书文件(CSR)"，等待进行签发
    -req            
args6签名证书的有效时间  
    -days  // -days 3650 有效期10年      
args7 指定用于签发请求证书的根CA证书 
    -CA arg 
args8 根CA证书格式(默认是PEM)     
    -CAform arg     
args9 指定用于签发请求证书的CA私钥证书文件    
    -CAkey arg      
args10 指定根CA私钥证书文件格式(默认为PEM格式)
    -CAkeyform arg  
args11 指定序列号文件(serial number file)    
    -CAserial arg   
args12 如果序列号文件(serial number file)没有指定，则自动创建它 
    -CAcreateserial 
args13设置HASH算法-[digest]【生成私钥指定的hash摘要算法】
    -md5
    -sha1  // 高版本浏览器开始不信任这种算法
    -md2
    -mdc2
    -md4

使用实例：使用根CA证书[ca.crt]和私钥[ca.key]对"请求签发证书"[server.csr]进行签发，生成x509格式证书

openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out serverx509.crt

使用实例：

`rsa`

`ca`

自签名过程

chrome自签名证书问题

hash/摘要算法sha1的不安全性

为什么Google急着杀死加密算法SHA-1;

Google官方博客宣布，将在Chrome浏览器中逐渐降低SHA-1证书的安全指示。但有意思的是Google.com目前使用的也是SHA-1签名的证书，但证书将在3个月内过期，Google将从2015年起使用SHA-2签名的证书。SHA-1算法目前尚未发现严重的弱点，但伪造证书所需费用正越来越低。

chrome提示缺失subjectAltName问题

原有的简单自签名证书在chrome里面不好使了，提示 missing_subjectAltName
missing_subjectAltName问题解决;

参考1：openssl详解
 参考3：openssl介绍
 参考2：自签名证书实践