openssl RSA 密钥(key)、证书签名请求(csr)、证书(cer)的生成和例子

于 2024-09-01 23:53:54 发布
阅读量231 收藏 1
点赞数
文章标签: linux ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yong1585855343/article/details/141792127
版权

1. RSA 密钥(key)、证书签名请求(csr)、证书(cer)的生成顺序

在这里插入图片描述

2. 具体操作

a. 生成 RSA 密钥(私钥)

openssl genrsa -aes256 -out ca.key 2048

b. 生成证书签名请求(csr)

# C-----国家(Country Name)
# ST----省份(State or Province Name)
# L----城市(Locality Name)
# O----公司(Organization Name)
# OU----部门(Organizational Unit Name)
# CN----产品名(Common Name)
# emailAddress----邮箱(Email Address)
openssl req -new -sha256 -key ca.key -out ca.csr -subj "/C=CN/ST=SD/L=JN/O=QDZY/OU=www.yong.com/CN=CA/emailAddress=yong@163.com"

可选:如果遇到报错:

Enter pass phrase for ca.key:
Can't load /home/swd/.rnd into RNG
139882871017920:error:2406F079:random number generator:RAND_load_file:Cannot open file:../crypto/rand/randfile.c:88:Filename=/home/swd/.rnd

那么执行:

cd /home/swd
openssl rand -writerand .rnd
cd -

c. 生成自签署证书(cer)

openssl x509 -req -days 90 -sha256 -extensions v3_ca -signkey ca.key -in ca.csr -out ca.cer

以上就是生成一个证书的流程

3. 一个案例(生成服务器证书和客户端证书)

(二)生成服务器证书
1、创建服务器私钥

openssl genrsa -aes256 -out server.key 2048

2、请求证书

openssl req -new -sha256 -key server.key -out server.csr -subj "/C=CN/ST=SD/L=JN/O=QDZY/OU=www.test.com/CN=SERVER/emailAddress=yong@163.com"

3、使用CA证书签署服务器证书

openssl x509 -req -days 36500 -sha256 -extensions v3_req -CA ca.cer -CAkey ca.key -CAserial ca.srl -CAcreateserial -in server.csr -out server.cer

(三)生成客户端证书
1、生成客户端私钥

openssl genrsa -aes256 -out client.key 2048

2、申请证书

openssl req -new -sha256 -key client.key -out client.csr -subj "/C=CN/ST=SD/L=JN/O=QDZY/OU=www.test.com/CN=CLIENT/emailAddress=yong@163.com"

3、使用CA证书签署客户端证书

openssl x509 -req -days 36500 -sha256 -extensions v3_req -CA ca.cer -CAkey ca.key -CAserial ca.srl -CAcreateserial -in client.csr -out client.cer

4. TLS 连接测试

a. 单向认证命令行:

服务器:

openssl s_server -CAfile ca.cer -cert server.cer -key server.key -accept 22843

客户端:

openssl s_client -CAfile ca.cer -cert client.cer -key client.key -connect 127.0.0.1 -port 22843

b. 双向认证:

服务器:

openssl s_server -CAfile ca.cer -cert server.cer -key server.key -accept 22843 -Verify 1

客户端:

openssl s_client -CAfile ca.cer -cert server.cer -key server.key -cert client.cer -key client.key -connect 127.0.0.1 -port 22843

5. tcpdump 抓包

我们访问的是 127.0.0.1:22843 ,所以抓包的时候抓的环回接口 lo
在这里插入图片描述
输入 tcpdump -i lo tcp -w lo.pcap 抓包后过滤 TCP 流。

在这里插入图片描述

5. end

上面就是openssl 关于创建证书以及使用它的例子

yong1585855343
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用OpenSSL生成/签发证书的原理、流程与示例
Laurence的技术博客
03-20 1万+
文章目录1 生成证书的步骤与原理2 标准的CA签发流程2.1 创建私钥(.key)2.2 基于私钥创建证书签名请求(.csr)2.3 (可选)直接同时生成私钥和证书签名请求2.4 将证书申请请求(.csr)提交给CA认证机构申请证书(.crt)2.5 CA机构生成CA证书链3 生成签名证书3.1 创建私钥(.key)3.2 基于私钥(.key)创建证书签名请求(.csr)3.3 (可选)直接同时生成私钥(.key)和证书签名请求(.csr)3.4 使用自己的私钥(.key)签署自己的证书签名请求(.csr
linux生成cer证书_Linux下使用openssl生成证书
weixin_31919471的博客
01-17 1469
利用OpenSSL生成库和命令程序,在生成的命令程序中包括对加/解密算法的测试,openssl程序,ca程序.利用openssl,ca可生成用于C/S模式的证书文件以及CA文件.证书文件的生成步骤:一、服务器端1.生成服务器端的私钥(key文件);openssl genrsa -des3 -out server.key 1024运行时会提示输入密码,此密码用于加密key文件(参数des3是加密算法...
openssl证书生成和管理 证书签名请求CSR)的创建、自签名证书或CA签名证书生成,以及证书内容的查看 生成签名的根证书颁发机构(CA)的密钥证书 TLS/SSL双向认证 证书格式
chenhao0568的专栏
02-22 4080
使用OpenSSL生成证书的过程实质上是创建一对密钥(公钥和私钥),并通过CSR将公钥及其关联的身份信息提交给CA进行签名。在自签名的场景中,持有私钥的实体自己充当CA的角色,直接对证书进行签名。这个过程确保了证书的公钥可以被信任,因为它是由一个可信的实体(CA或证书的持有者本人)签名的。自签名证书虽然在某些用途(如内部测试)中非常有用,但它们没有由公认的CA签发的证书那样的广泛信任度。在公开或商业环境中,通常会从一个公认的CA处购买证书。信任链。
使用openssl命令行产生密钥对、签发证书[详细]
一切有为法,如梦亦如幻,如露亦如电,应作如是观。
08-30 8034
这个公钥内容的前半部分是什么呢?注意:以下操作命令均在openssl的bin目录内执行。
Android系统安全 — 1-OpenSSL生成密钥key证书详解
qincheng168的博客
07-06 1655
OpenSSL生成密钥介绍
使用OpenSSL生成PKCS#12格式的证书和私钥
一切有为法,如梦亦如幻,如露亦如电,应作如是观。
12-17 4420
我们可以根据需要进行更多的配置和调整。此外,如果您具有可用的CA证书和私钥,可以使用类似的命令生成PKCS12文件。确保妥善保管和保护您的私钥和证书
Https环境将key秘钥和crt格式证书转成cer证书
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
09-11 3261
1、去除秘钥*.key的加密保护: openssl rsa -in nginx-selfsigned.key -out upnginx-selfsigned.key //注意需要到本地目录下执行 2、将*.key秘钥文件和*.crt证书文件合并为cer证书,执行: openssl x509 -in …/private/nginx-selfsigned.key -in ./nginx-selfsigned.crt -out nginx-selfsigned.cer -outform der 其中,X.5
openssl qt 生成秘钥_openssl生成密钥/证书
weixin_30596151的博客
01-28 395
一、公钥/私钥/签名/验证签名/加密/解密/非对称加密对称加密:用同一个密码 加密/解密 文件。非对称加密:加密用的一个密码,解密用另外一组密码。加密解密:公钥加密数据,然后私钥解密。公钥加密的数据只有它相对应的私钥可以解开,所以数据只有到了有私钥的你这里,才可以解开成有用的数据。签名和验证签名:私钥加密数据,公钥解密。用私钥对数据进行签名,那这个数据就只有配对的公钥可以解开,有这个私钥的只有...
openssl RSA私钥 公钥 CA证书生成
cxc0378的博客
06-21 1058
1.生成CA根证书 1.1生成ca秘钥,得到ca.key openssl genrsa -out ca.key 2048 1.2生成ca证书签发请求,得到ca.csr openssl req -new -out ca.csr -key ca.key 1.3生成ca根证书,得到ca.crt openssl x509 -req -days 3650 -in ca.csr -signkey ...
OpenSSL生成ssl证书
01-11
这会生成一个有效期为365天的自签名证书`certificate.crt`。 5. **合并证书和私钥**:为了简化Nginx配置,你可以将证书和私钥合并到一个文件中: ``` cat private.key certificate.crt > server.pem ``` **...
cer证书生成工具
01-08
CER证书通常由证书签名请求CSRCertificate Signing Request)生成,这个过程涉及以下步骤: 1. 创建私钥:如上所述,使用OpenSSL生成私钥。 2. 生成CSR:使用私钥创建CSR,其中包含组织信息、联系人信息以及...
openssl生成证书
12-27
这将基于你的私钥和CSR生成一个有效期为365天的自签名证书,保存在server.crt文件中。 三、证书转换操作 1. PEM与DER格式转换:PEM是Base64编码的ASCII文本格式,而DER是二进制格式。使用`openssl`命令可以互相...
Linux中的常见命令——用户管理命令
qq_45569925的博客
08-27 2071
默认创建用户的时候会在home文件夹下创建一个与用户同名的文件夹【该用户的主目录】,也可以在创建用户的时候设置该用户主目录的名称。【输入的密码是不在控制台显示的,输入完之后直接按回车键即可】使用wgh用户查看root下的文件。【此时的用户是没有密码的】给创建的用户设置密码。查看某个用户是否存在。
Linux高性能服务器编程 总结索引 | 第2章:IP协议详解
AsherGu的博客
08-29 1070
IP服务的特点;IPv4头部结构;IP分片;IP路由:IP模块工作流程,路由机制,路由表更新;IP转发;重定向;IPv6头部结构:IPv6固定头部结构,IPv6扩展头部
linux 系统如何进行nfs(第五节)
最新发布
weixin_44767571的博客
08-30 408
首先是 在虚拟机中的操作。然后是在开发板上的操作。
Linux报错:make[2]: *** No rule to make target ‘/usr/local/lib/libopus.a‘
VIFIN的博客
08-27 1144
解决报错:make[2]: *** No rule to make target '/usr/local/lib/libopus.a'
Linux下,执行shell遇let:not found
janet110617的博客
08-27 681
Linux下执行shell脚本,提示let:not found错误,文章介绍了错误原因及其解决方法
Linux中杀死占用某个端口的进程
靖妖傩舞
08-28 618
选项表示强制终止进程,但这种方式可能会导致数据丢失或其他不良后果,所以在使用时要谨慎。确定要杀死的进程 PID。从上述步骤中获取到占用端口 9997 的进程 PID。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值