【全】OpenSSL创建生成CA证书、服务器、客户端证书及密钥说明

最新推荐文章于 2024-05-08 19:56:45 发布
最新推荐文章于 2024-05-08 19:56:45 发布
阅读量1.9k 收藏 19
点赞数 20
文章标签: OpenSSL key pem crt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41885845/article/details/135601545
版权
本文详述如何使用OpenSSL生成CA证书、服务器和客户端证书及其密钥,包括不同加密算法和指令,如genrsa、req、x509,涉及SSL单向和双向认证的证书创建过程,以及证书和密钥的转换与验证。
摘要由CSDN通过智能技术生成
本文章对应的文档:使用OpenSSL创建生成CA证书服务器客户端证书及密钥资源-CSDN文库

https://download.csdn.net/download/weixin_41885845/88746920

对于SSL单向认证

服务器需要CA证书、server证书、server私钥,客户端需要CA证。

对于SSL双向认证

服务器需要CA证书、server证书、server私钥,客户端需要CA证书,client证书、client私钥。

 

生成CA证书

私钥生成指令: openssl genrsa

该命令是会用来生成 RSA 私有秘钥,不会生成公钥,因为公钥提取自私钥。

openssl  genrsa [-out filename] [-passout arg] [-f4] [-3] [-rand file(s)] [-engine id] [numbits] [-des] [-des3] [-idea]

-des            encrypt the generated key with DES in cbc mode

 -des3           encrypt the generated key with DES in ede cbc mode (168 bit key)

 -idea           encrypt the generated key with IDEA in cbc mode

 -seed

                 encrypt PEM output with cbc seed

 -aes128, -aes192, -aes256

                 encrypt PEM output with cbc aes

 -camellia128, -camellia192, -camellia256

                 encrypt PEM output with cbc camellia

 -out file       output the key to 'file

 -passout arg    output file pass phrase source

 -f4             use F4 (0x10001) for the E value

 -3              use 3 for the E value

 -engine e       use engine e, possibly a hardware device.

 -rand file:file:...

                 load the file (or the files in the directory) into

                 the random number generator

-des             使用des cbc模式对私钥文件进行加密。

-des3            使用des3 cbc模式对私钥文件进行加密。

-idea            使用idea cbc模式对私钥文件进行加密。

-aes128, -aes192, -aes256               使用aes cbc模式对私钥文件进行加密。

-out file        指定输出私钥文件名。

-f4                        指定F4做为E值,默认。

-3                        指定3做为E值。

-seed arg             指定cbc的随机种子。

-rand file:file 指定随机数种子文件。

———————————————————————————————————————

-out filename :将生成的私钥保存至filename文件,若未指定输出文件,则为标准输出。

                                    

-numbits :指定要生成的私钥的长度(单位 bit),默认为1024。该项必须为命令行的最后一项参数。

-des|-des3|-idea:指定加密私钥文件用的算法,这样每次使用私钥文件都将输入密码,太麻烦所以很少使用。

-passout args :加密私钥文件时,传递密码的格式,如果要加密私钥文件时单未指定该项,则提示输入密码。传递密码的args的格式见openssl密码格式。

测试

1、 openssl genrsa -seed -out rs_pri.pem 512

 

2、 openssl genrsa -aes256 –out rs_pri.key 512

 

3、 openssl genrsa -des3 -out test.key  -rand hello.txt 512

 

4 、openssl genrsa -des -passout pass:"123456" -out prikey.pem 1024

请求CA证书(先创建CA证书私钥)

C-----国家(Country Name)

ST----省份(State or Province Name)

L----城市(Locality Name)

O----公司(Organization Name)

OU----部门(Organizational Unit Name)

CN----产品名(Common Name)

emailAddress----邮箱(Email Address)

req指令

主要用于创建证书请求文件;

openssl req [options] <infile> outfile

-inform arg              指定输入文件格式,可以为DER或PEM,默认为PEM。

-outform arg              指定输出文件格式,可以为DER或PEM,默认为PEM。

-in arg                     指定输入文件。

-out arg                      指定输出文件。

-new                          创建新的证书请求文件。

-key file                   指定创建证书请求的私钥文件。

-keyform arg              指定创建证书请求的私钥文件的格式,可以为DER或PEM,默认为PEM。

-passin arg              指定私钥文件的口令保护来源。

-verify                      校验证书请求文件的主体签名是否有效。

-noout                        不打印证书请求信息。

-text                           文本打印证书请求文件。

-modulus                    输出证书请求的模数信息。

-subject                      输出证书请求主体信息。

-subj arg                     设置或修改证书请求的主体信息。

-multivalue-rdn   设置或修改证书请求的主体信息时,允许多RDN格式。

-utf8                           输入字符为utf8编码,默认输入为ASCII编码。

-[digest]                     指定创建证书请求的摘要算法。

-pubkey                      提取证书请求文件中的公钥。

x509指令

主要用于创建、修改x509证书。

openssl x509 [options] <infile >outfile

-inform arg                 指定输入文件格式,可以为DER或PEM,默认为PEM。

-outform arg              指定输出文件格式,可以为DER或PEM,默认为PEM。

-keyform arg              指定私钥文件格式,可以为DER或PEM,默认为PEM。

-CAform arg               指定CA文件格式,可以为DER或PEM,默认为PEM。

最低0.47元/天 解锁文章
可爱的我啊
关注
  • 20
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OpenSSL创建生成CA证书服务器客户端证书及密钥
05-19
OpenSSL创建生成CA证书服务器客户端证书及密钥,配套。https://blog.csdn.net/qq153471503/article/details/109524764
Linux入门攻坚——22、通信安基础知识及opensslCA证书
kaoa000的专栏——非淡泊无以明志,非宁静无以致远
05-08 740
随机数生成器:熵池,用于存储随机数,随机数是由随机事件产生的,如敲击键盘、磁盘I/o等,两个伪设备,用于生成随机数。1、进入CA根目录,生成CA的私钥,按照上面的配置CA根目录是/etc/pki/CACA自己的私钥为/etc/pki/CA/private/cakey.pem。这个httpd.csr,就是一个待签发的证书,所谓签发,就相当于CA用自己的印戳在这个文件上盖上印,实际就是CA用自己的密钥在这个文件上数字签名。不同的服务,不同的证书,不同的密钥,使用者先向RA申请生成密钥
openssl 生成证书步骤
最新发布
hinewcc的博客
05-08 2796
本地使用 openssl 生成证书
使用openssl生成CA、server、client私钥和证书证书包括公钥)
weixin_39991993的博客
04-05 7890
参考:SSL证书制作并使用NodeJs进行HTTPS认证配置 - 苍青浪 - 博客园 1. 生成CA证书及私钥: 1)生成一个私钥为ca-key.pem openssl genrsa -out ca-key.pem -des 1024 ca私钥使用:tfo0zQ1JiP3PeZQVAzMy 【后面也会用到】 2)根据秘钥ca-key.pem生成一个证书签名请求文件ca-csr.pem,根据这个文件可以签出秘钥对应的证书。在这里会要求填入相关信息,可以用“.”表示为空,但Common Name必须要填
openssl自签名CA证书、服务端和客户端证书生成并模拟单向/双向证书验证
赴前尘
02-03 1490
openssl自签名CA证书、服务端和客户端证书生成并模拟单向/双向证书验证
使用openssl 生成免费证书的方法步骤
01-10
一:什么是openssl? 它的作用是?应用场景是什么? 即百度百科说:openssl是一个开放源代码的软件库包,应用程序可以使用这个包来进行安通信,它可以避免信息被窃听到。 SSL是Secure Sockets Layer(安套接层协议)的缩写,可以在Internet上提供秘密性传输。Netscape(网景)公司在推出第一个Web浏览器的同时,提出了SSL协议标准。其目标是保证两个应用间通信的保密性和可靠性,可在服务器端和用户端同时实现支持。 因为在网络传输的过程中,网络的数据肯定要经过wifi路由器对吧,那么我们通过路由器做些手脚我们就可以拿到数据,因此openssl的作用就是避免信息
通过openSSL生成自签名的SSL证书
adminstate的博客
01-12 1万+
ssl证书
OpenSSL创建SSL证书
悦分享
06-03 4629
OpenSSL是一套开源的密码学工具包,为网络通信提供安及数据完整性的一种安协议,囊括了主要的密码算法、常用的密钥证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其他目的使用。在SSL协议中,我们使用了很多密码学手段来保护数据,其中包括对称密码,公钥密码,数字签名,证书,完整性校验,伪随机数生成等。由于这些算法和操作都非常复杂,于是开源社区就开发了一套库,这个库里面提供了很多现成的标准方法,其他开发者只要正确的调用这些方法,就可以实现SSL协议中的各种加密/解密操作了。
Openssl 如何生成证书
linux_tcpdump的博客
10-16 2750
用途。
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
01-16
本文将详细介绍如何使用 OpenSSL 创建和管理CA证书服务器证书客户端证书,以实现SSL单向认证和双向认证。 首先,我们来看一下如何生成 CA证书颁发机构)证书CA证书是信任的根,用于签署其他证书,确保网络...
Linux平台openssl工具生成CA证书的命令 配置文件 证书
12-24
本主题将详细讲解如何在Linux平台上使用OpenSSL工具生成CA(Certificate Authority)证书,以及涉及的相关文件类型和配置。 首先,让我们了解什么是CA证书CA证书是由受信任的证书颁发机构(如上述的CA)签发的,...
openssl创建ca 公私密钥 证书
07-13
本教程将详细讲解如何使用OpenSSL创建CA生成公私密钥对以及证书,以及如何进行加密解密、加签验签操作。 首先,让我们了解基本概念: 1. **CA证书颁发机构)**:它是可信的第三方机构,负责验证并签发数字证书...
利用openssl生成CA证书的方法及证书
12-26
本文将详细阐述如何利用OpenSSL生成CA证书以及相关的证书文件。 首先,我们需要理解证书的用途。在互联网通信中,证书用于验证服务器客户端的身份,确保数据在传输过程中不被篡改。它们由证书签名请求(CSR)生成...
openssl证书生成和管理 证书签名请求(CSR)的创建、自签名证书CA签名证书生成,以及证书内容的查看 生成自签名的根证书颁发机构(CA)的密钥证书 TLS/SSL双向认证 证书格式
chenhao0568的专栏
02-22 3228
使用OpenSSL生成证书的过程实质上是创建一对密钥(公钥和私钥),并通过CSR将公钥及其关联的身份信息提交给CA进行签名。在自签名的场景中,持有私钥的实体自己充当CA的角色,直接对证书进行签名。这个过程确保了证书的公钥可以被信任,因为它是由一个可信的实体(CA证书的持有者本人)签名的。自签名证书虽然在某些用途(如内部测试)中非常有用,但它们没有由公认的CA签发的证书那样的广泛信任度。在公开或商业环境中,通常会从一个公认的CA处购买证书。信任链。
基于openssl工具完成自建CA以及为server,client颁发证书
tutu_hu的博客
06-03 2750
本文总结了openssl工具的常用命令,并基于openssl完成自建CA,并使用该自建CA给server和client颁发证书,进一步完成基于https协议的server和client的通信。
使用OpenSSL生成/签发证书步骤
xiejianweifdd的博客
08-27 4293
openssl 证书 自签名 私有CA
利用openssl创建一个简单的CA
热门推荐
雕虫小技
04-26 2万+
 本文旨在利用开源openssl软件,在Linux(或UNIX/Cygwin)下创建一个简单的CA。我们可以利用这个CA进行PKI、数字证书相关的测试。比如,在测试用Tomcat或Apache构建HTTPS双向认证时,我们可以利用自己建立的测试CA来为服务器端颁发服务器数字证书,为客户端(浏览器)生成文件形式的数字证书(可以同时利用openssl生成客户端私钥)。  该简单的CA将建立在用户自己的
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值