使用openssl 工具生成 rsa及ecdsa证书链,公钥,私钥,签名,验证,root CA,证书链,中间证书验证

已于 2023-05-11 10:45:22 修改
阅读量2k 收藏 3
点赞数
文章标签: 服务器 运维
于 2023-03-14 18:44:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43398250/article/details/129536573
版权 
#!/bin/sh

USE_RSA=0
SIGNATURE_HASH=0
ECDSA_CURVE=secp384r1
DIGEST_ALGORITHM=sha384

if [ "$1" == "rsa" ];then
    USE_RSA=1
    DIGEST_ALGORITHM=sha256
elif [ "$1" == "256" ];then
    ECDSA_CURVE=prime256v1
    DIGEST_ALGORITHM=sha256
elif [ "$1" == "384" ];then
    ECDSA_CURVE=secp384r1
    DIGEST_ALGORITHM=sha384
elif [ "$1" == "512" ];then
    ECDSA_CURVE=secp521r1
    DIGEST_ALGORITHM=sha512
fi

if [ $USE_RSA == 1 ];then
    echo "Generate RSA certificate"
	echo ""
else
    echo "Generate ECDSA certificate"
	echo "Curve: $ECDSA_CURVE"
	echo "Digest: $DIGEST_ALGORITHM"
fi

CONFIG_FILE=opensslroot.cfg

function prepare()
{
echo "authorityKeyIdentifier=keyid,issuer
subjectKeyIdentifier=hash
basicConstraints = CA:true,pathlen:0
keyUsage = cRLSign, keyCertSign" > v3.ext

echo "authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:false,pathlen:0
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment" > v3_attest.ext
}

prepare

#--------------------------------------------------------------------------------------------------------------
# Generate rootCA key
#
if [ ${USE_RSA} == 1 ];then
    openssl genrsa -out qpsa_rootca.key 2048
else
    openssl ecparam -out qpsa_rootca.key -name ${ECDSA_CURVE} -genkey
fi

# use below command to query the supported parameter for ecdsa,
# usally use: prime256v1(NIST P-256),secp384r1(NIST P-384),secp521r1(NIST P-521)
# openssl ecparam -list_curves

#Generate certificate for rootCA
openssl req -new -key qpsa_rootca.key -x509 -out qpsa_rootca.crt \
-subj "/C=US/ST=California/L=San Diego/OU=General Use Test Key (for testing only)/OU=CDMA Technologies/O=None/CN=Generated Root CA 1" \
-days 7300 -set_serial 1 -config ${CONFIG_FILE} -${DIGEST_ALGORITHM}

#Convert crt format to der
openssl x509 -inform PEM -in
最低0.47元/天 解锁文章
小武168
关注
C++ openssl ECDSA签名
啊渊的专栏
02-16 2348
1、Openssl库安装及交叉编译 下载openssl库,https://www.openssl.org/source/ 将库文件解压到本地文件后进行配置: a、config配置: 进入解压后的目录,执行 ./config shared --prefix=/usr/local/openssl --openssldir=/usr/local/ 其中 shared 为生成动态连接库,后续程序接口调用需要的引用这些动态库。 --prefix=/usr/local/openssl 为配置opens..
Cryptography API: Next Generation(CNG)使用梳理——非对称加密算法应用(五)与OpenSSL数字签名认证的互通(ECDSA
耍宝王专栏
07-17 1032
CNG中的数字签名算法主要包括RSA、DSA和ECDSA,其中RSA算法所得的签名值是可以直接与OpenSSL相互验证的,而DSA和ECDSA则不行,这是因为输出的格式不同OpenSSL采用DER,而ECDSAOpenSSL3之前可以使用ECDSA_do_sign获得ECDSA_SIG格式,但penSSL3以后的版本因为隐藏了底部实现,所以其数字签名函数只能使用EVP_SignXXXXX、EVP_Digest和EVP_PKEY_sign这些函数了,其输出的签名格式为DER。
学习笔记:公钥私钥 签名验签 加密解密 CA 证书
weixin_39991993的博客
03-02 3161
重点: 1、区分加密解密和签名验签(在非对称加密情景下) 加密解密:#A给B发消息# A用B的公钥进行运算(加密),B收到后用B自己的私钥进行逆向运算(解密) 签名验签:#A给B发消息# A用A自己的私钥进行运算(签名),B收到后用A的公钥进行逆向运算(验签) 2、证书签发的原理 CA 对用户签发证书:对某个用户公钥使用 CA私钥对其进行签名。这样任何人都可以用 CA公钥对该证...
openssl生成ecdsarsa证书方法
iteye_12982的博客
12-20 7087
本文主要讲述使用openssl生成ecdsa证书和RSA证书。 首先在openssl官网上下载openssl源码,然后进行编译安装。 这个过程本文不进行讲解。默认你的系统中已经安装好了openssl。 但是需要使用下载的源码。 本文中的代码等都是实测可用的。使用平台是linux,版本是ubuntu14.04 下面开始正文。   以下linux命令均在root用户下完成。 1、首...
openssl 证书创建及验证
最新发布
oXinDeKaiShi12的博客
04-10 228
本地端口4433开启tls服务,并验证连入的客户端证书。
使用 openssl 生成证书
weixin_34075551的博客
09-17 4678
一、openssl 简介 openssl 是目前最流行的 SSL 密码库工具,其提供了一个通用、健壮、功能完备的工具套件,用以支持SSL/TLS 协议的实现。官网:https://www.openssl.org/source/ 构成部分 密码算法库 密钥和证书封装管理功能 SSL通信API接口 用途 建立 RSA、DH、DSA key 参数 建立...
openssl生成认证证书的工具
10-21
最简单的方法,直接用java里的keytool工具生成一个keystore文件,然后直接用这个文件启用https就可以了。 方法如下: 命令行执行%JAVA_HOME%\bin\keytool -genkey -alias tomcat -keyalg RSA 执行过程中会询问你一些信息,比如国家代码,省市等,其中需要填写两个密码,一次在开头,一次在最后,请保持两个密码相同。比如,我将密码都设成s3cret。 如果不同,启动会报错,大概是下面这样的 java.io.IOException: Cannot recover key 执行完成后会生成一个.keystore文件,将它复制到tomcat的bin目录下(并不一定,放哪里都可以) 打开conf目录下的server.xml文件,找到以下这一段 它被注释掉了,将注释去掉,并将这一段改成以下 maxThreads="150" scheme="https" secure="true" keystoreFile="bin/.keystore" keystorePass=" s3cret" clientAuth="false" sslProtocol="TLS" /> 之后启动tomcat就可以了,通过https方式访问8443端口,就能看到效果。如果用http访问之前的端口,那么还是普通的未加密连接。 到这里问题来了,我的目的是启用https,但现在http还能访问,那么就可以绕开https。https也就起不了什么作用了。因此要强制访问https。 打开你的web应用的web.xml文件,在最后加上这样一段 Protected Context /* CONFIDENTIAL 重启tomcat,现在你放问原来的地址,假设是http://localhost:8080/mywebapp/,可以看到,连接被重定向到了https的连接 https://localhost:8443/mywebapp/。这样,我们的目的达到了。 但似乎还有点小问题,keystorePass="s3cret",这个密码直接被明码方式卸载server.xml里。总觉得有还是有点不爽。 那么还有一种稍微复杂点的方式,我们使用openssl。 首先,需要下载openssl,为了方便,可以下载一个绿色版, 加压后除了openssl.exe以外,还有一个bat文件,这个可以帮助我们快速创建证书申请文件。 运行autocsr.bat,按照提示输入信息,之后按任意键确认。你会得到两个文件,一个server.key,这是私钥文件,还有一个名为certreq.csr的证书请求文件。 如果你要向证书颁发机构申请正式的安全证书,那么就把这个certreq.csr文件发给他们就行了。他们会给你发来两个cer文件,一个是服务器证书,一个是根证书 如果你只是要使用https,那么证书自己签署就可以了。 在命令行下进入刚才解压的目录,找到openssl.exe所在的目录,执行以下命令 openssl x509 -req -in certreq.csr -out cert.cer -signkey server.key -days 3650 现在你将得到一个名为cert.cer的证书文件。 修改server.xml将 maxThreads="150" scheme="https" secure="true" keystoreFile="bin/.keystore" keystorePass=" s3cret" clientAuth="false" sslProtocol="TLS" /> 修改为以下内容(假设cert.cer和server.key文件都放在tomcat的conf目录下) maxThreads="150" scheme="https" secure="true" SSLCertificateFile="conf/cert.cer" SSLCertificateKeyFile="conf/server.key" sslProtocol="TLS" /> PS.如果真的向证书颁发机构申请到了正式的安全证书,那么配置还有点不同,如下 maxThreads="150" scheme="https" secure="true" SSLCertificateFile="conf/server.cer" SSLCertificateKeyFile="conf/server.key" SSLCertificateChainFile="conf/intermediate.cer" sslProtocol="TLS" /> 因为证书颁发机构会给两个整数,一个是签署后的服务器证书,还有一个中级CA证书,所以要多一行配置。 可能证书颁发机构只会给你服务器证书也就是server.cer, 中级的CA证书即 intermediate.cer 需要到 证书颁发机构提供的网站中去下载,具体的操作会为证书颁发机构给发的邮箱中会有相关的提示 好了,到这里都配置完了,重启tomcat,就可以看到效果。不过,看到的通常会是一个exception,大概是说APR not available 如果遇到这个异常,说明你的tomcat没有安装apr支持 apr安装详见:http://www.blogjava.net/yongboy/archive/2009/08/31/293343.html 之后启动tomcat,问题应该解决了,看起来效果和第一种方式没什么不同。
Openssl计算ECDSA签名
热门推荐
JwLee的专栏
09-18 3万+
ECDSA的全名是Elliptic Curve DSA,即椭圆曲线DSA。它是Digital Signature Algorithm (DSA)应用了椭圆曲线加密算法的变种。椭圆曲线算法的原理很复杂,但是具有很好的公开密钥算法特性,通过公钥无法逆向获得私钥。 第一部分 : DSA的签名验证过程 要了解ECDSA,首先要了解DSA签名的过程和验证过程。为了理解的方便,这里省去诸
使用OpenSSL指令测试椭圆曲线签名算法ECDSA
scruffybear的专栏
03-28 2016
本文记录了使用OpenSSL指令测试椭圆曲线签名算法ECDSA,进行了以下操作:生成椭圆曲线secp256r1 公私密钥对,使用OpenSSL指令及secp256r1算法对输入的数据使用私钥获得签名使用OpenSSL指令对获得的签名对输入的数据使用公钥进行认证。
基于OpenSSL库的ECDSA签名验证,附代码和文档
01-25
提供的压缩包中,`基于OpenSSL库的ECDSA签名验证.pdf`很可能是详细的教程或参考文档,讲解了如何使用OpenSSL库进行ECDSA签名验证的步骤,包括代码示例和理论解释。`ecdsa.sln`可能是一个Visual Studio解决方案...
本地ssl证书生成工具
03-19
- 创建私钥使用`openssl genpkey`命令生成RSAECDSA私钥。 - 创建证书请求:使用`openssl req`命令创建证书请求,填写相关信息如组织名、国家等。 - 自签发证书:使用`openssl x509`命令,使用之前生成私钥...
p7b证书链验证工具-结合SM2证书验证工具用于验证SM2 p7b证书链的真实性
12-11
p7b证书链验证工具-结合SM2证书验证工具用于验证SM2 p7b证书链的真实性 0.306版本:解决了Win10系统下程序与证书链不同盘会闪退的问题 程序属性:需要安装OpenssL64环境 0.309:可验证二进制p7b链、PEM格式p7b链、分体PEM-CERTIFICATE格式p7b链
验证证书链验证证书链
01-22
验证证书链 检查证书是不是在证书链内的证书下发的。
C++ openssl ECDSA签名
arm89782的博客
07-06 1380
1、Openssl库安装及交叉编译 下载openssl库,https://www.openssl.org/source/ 将库文件解压到本地文件后进行配置: a、config配置: 进入解压后的目录,执行 ./config shared --prefix=/usr/local/openssl --openssldir=/usr/local/ 其中 shared 为生成动态连...
openSSL 生成证书 (三级_证书链) linux
AAugust的博客
10-22 4457
生成思路: 1.创建CA私钥 (ROOT根证书) 2.生成CA证书请求 3.CA私钥签名CA证书并导出根证书.cer 4.创建中间证书 私钥 5.生成中间证书请求 6.CA私钥签名并导出 中间证书.cer 7.创建 用户证书私钥 8.生成用户证书请求 9.中间证书私钥签名并导出 用户证书.p12 (包含公钥证书+用户证书私钥) 最终得到: 根证书.cer , 中间证书...
OpenSSL: 椭圆曲线签名与校验 (ECDSA)
jwybobo2007的博客
10-15 8159
<br />/*<br />目录:<br />--------------------<br />1. 简介<br />2. 生成 ECDSA 密钥对<br />3. 签名<br />4. 校验<br />*/<br /><br />/*<br />1. 简介<br />--------------------<br /> 对 PE 文件做 ECDSA 签名. 签名写入 PE 头部 DOS Stub代码后边. 使用的椭圆<br />曲线是 FIPS 186-2 中的 P-192. 签名长度不超过 56 字节
RSA密钥证书的生成
weixin_43369218的博客
07-06 8569
首先需要下载OpenSSL软件,一直点击下一步就好,链接: 链接:https://pan.baidu.com/s/1uHNpKGF9j9c1bQ6QAwtpOA 提取码:myit (百度网盘分享无须官网下载,如若不好使请私信或者评论) 1.生成RSA私钥(无加密) openssl genrsa -out rsa_private.key 2048 2.生成RSA公钥 openssl rsa -in rsa_private.key -pubout -out rsa_public...
使用openssl命令制作ecc证书
weixin_34294649的博客
04-04 242
2019独角兽企业重金招聘Python工程师标准>>> ...
使用OpenSSL创建自签名证书(详细过程和工具
netconer的博客
05-26 3482
需求来源于使用Node.js创建一个Websocket服务器,如果使用ws://协议则不需要证书。这就要用到签名证书,通常需要从可信任的证书颁发机构获取,但是自己内部使用可以使用OpenSSL创建自签名证书。此步骤会提示填写国家代码、省、市、公司、人名、邮箱等信息,可按需要填写或填入“."保持空白,或直接回车。2. 通过私钥文件生成CSR证书签名请求文件(例: 名称为“req_csr.pem”)3. 通过私钥文件和CSR证书签名生成证书文件(例: 名称为“server.crt”)(windows版本)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值