openssl基本原理 + 生成证书 + 使用实例

最新推荐文章于 2024-05-08 19:56:45 发布
最新推荐文章于 2024-05-08 19:56:45 发布
阅读量1.8w 收藏 66
点赞数 7
分类专栏: 信息安全 文章标签: openssl

公司一个项目要进行交易数据传输,因为这个项目银行那边也是刚刚开始启动,所有的支持只有一个传输字段的说明文档,好吧,总的有人做事不是嘛,于是接口开发正式展开,第一步的难点就是加密解密,我选择使用OpenSSL.

OpenSSL初接触的人恐怕最难的在于先理解各种概念

  公钥/私钥/签名/验证签名/加密/解密/非对称加密

  我们一般的加密是用一个密码加密文件,然后解密也用同样的密码.这很好理解,这个是对称加密.而有些加密时,加密用的一个密码,而解密用另外一组密码,这个叫非对称加密,意思就是加密解密的密码不一样.初次接触的人恐怕无论如何都理解不了.其实这是数学上的一个素数积求因子的原理的应用,如果你一定要搞懂,百度有大把大把的资料可以看,其结果就是用这一组密钥中的一个来加密数据,可以用另一个解开.是的没错,公钥和私钥都可以用来加密数据,相反用另一个解开,公钥加密数据,然后私钥解密的情况被称为加密解密,私钥加密数据,公钥解密一般被称为签名和验证签名.

  因为公钥加密的数据只有它相对应的私钥可以解开,所以你可以把公钥给人和人,让他加密他想要传送给你的数据,这个数据只有到了有私钥的你这里,才可以解开成有用的数据,其他人就是得到了,也看懂内容.同理,如果你用你的私钥对数据进行签名,那这个数据就只有配对的公钥可以解开,有这个私钥的只有你,所以如果配对的公钥解开了数据,就说明这数据是你发的,相反,则不是.这个被称为签名.

  实际应用中,一般都是和对方交换公钥,然后你要发给对方的数据,用他的公钥加密,他得到后用他的私钥解密,他要发给你的数据,用你的公钥加密,你得到后用你的私钥解密,这样最大程度保证了安全性.

  RSA/DSA/SHA/MD5

  非对称加密的算法有很多,比较著名的有RSA/DSA ,不同的是RSA可以用于加/解密,也可以用于签名验签,DSA则只能用于签名.至于SHA则是一种和md5相同的算法,它不是用于加密解密或者签名的,它被称为摘要算法.就是通过一种算法,依据数据内容生成一种固定长度的摘要,这串摘要值与原数据存在对应关系,就是原数据会生成这个摘要,但是,这个摘要是不能还原成原数据的,嗯....,正常情况下是这样的,这个算法起的作用就是,如果你把原数据修改一点点,那么生成的摘要都会不同,传输过程中把原数据给你再给你一个摘要,你把得到的原数据同样做一次摘要算法,与给你的摘要相比较就可以知道这个数据有没有在传输过程中被修改了.

  实际应用过程中,因为需要加密的数据可能会很大,进行加密费时费力,所以一般都会把原数据先进行摘要,然后对这个摘要值进行加密,将原数据的明文和加密后的摘要值一起传给你.这样你解开加密后的摘要值,再和你得到的数据进行的摘要值对应一下就可以知道数据有没有被修改了,而且,因为私钥只有你有,只有你能解密摘要值,所以别人就算把原数据做了修改,然后生成一个假的摘要给你也是不行的,你这边用密钥也根本解不开.

   CA/PEM/DER/X509/PKCS

  一般的公钥不会用明文传输给别人的,正常情况下都会生成一个文件,这个文件就是公钥文件,然后这个文件可以交给其他人用于加密,但是传输过程中如果有人恶意破坏,将你的公钥换成了他的公钥,然后得到公钥的一方加密数据,不是他就可以用他自己的密钥解密看到数据了吗,为了解决这个问题,需要一个公证方来做这个事,任何人都可以找它来确认公钥是谁发的.这就是CA,CA确认公钥的原理也很简单,它将它自己的公钥发布给所有人,然后一个想要发布自己公钥的人可以将自己的公钥和一些身份信息发给CA,CA用自己的密钥进行加密,这里也可以称为签名.然后这个包含了你的公钥和你的信息的文件就可以称为证书文件了.这样一来所有得到一些公钥文件的人,通过CA的公钥解密了文件,如果正常解密那么机密后里面的信息一定是真的,因为加密方只可能是CA,其他人没它的密钥啊.这样你解开公钥文件,看看里面的信息就知道这个是不是那个你需要用来加密的公钥了.

  实际应用中,一般人都不会找CA去签名,因为那是收钱的,所以可以自己做一个自签名的证书文件,就是自己生成一对密钥,然后再用自己生成的另外一对密钥对这对密钥进行签名,这个只用于真正需要签名证书的人,普通的加密解密数据,直接用公钥和私钥来做就可以了.

  密钥文件的格式用OpenSSL生成的就只有PEM和DER两种格式,PEM的是将密钥用base64编码表示出来的,直接打开你能看到一串的英文字母,DER格式是二进制的密钥文件,直接打开,你可以看到........你什么也看不懂!.X509是通用的证书文件格式定义.pkcs的一系列标准是指定的存放密钥的文件标准,你只要知道PEM DER X509 PKCS这几种格式是可以互相转化的.

== End http://www.cnblogs.com/phpinfo/archive/2013/08/09/3246376.html ==

为了方便理解,我画了一个图,如下:

 

2. 生成证书

参考:http://zctya.blog.163.com/blog/static/1209178201251310292958/

一:生成CA证书 
目前不使用第三方权威机构的CA来认证,自己充当CA的角色。  
网上下载一个openssl软件 
1.创建私钥 : 
C:\OpenSSL\bin>openssl genrsa -out ca/ca-key.pem 1024  
2.创建证书请求 : 
C:\OpenSSL\bin>openssl req -new -out ca/ca-req.csr -key ca/ca-key.pem  
----- 
Country Name (2 letter code) [AU]:cn 
State or Province Name (full name) [Some-State]:zhejiang 
Locality Name (eg, city) []:hangzhou 
Organization Name (eg, company) [Internet Widgits Pty Ltd]:skyvision 
Organizational Unit Name (eg, section) []:test 
Common Name (eg, YOUR name) []:root 
Email Address []:sky 
3.自签署证书 : 
C:\OpenSSL\bin>openssl x509 -req -in ca/ca-req.csr -out ca/ca-cert.pem -signkey ca/ca-key.pem -days 3650 
4.将证书导出成浏览器支持的.p12格式 : 
C:\OpenSSL\bin>openssl pkcs12 -export -clcerts -in ca/ca-cert.pem -inkey ca/ca-key.pem -out ca/ca.p12  
密码:changeit       
二.生成server证书。  
1.创建私钥 : 
C:\OpenSSL\bin>openssl genrsa -out server/server-key.pem 1024  
2.创建证书请求 : 
C:\OpenSSL\bin>openssl req -new -out server/server-req.csr -key server/server-key.pem  
----- 
Country Name (2 letter code) [AU]:cn 
State or Province Name (full name) [Some-State]:zhejiang 
Locality Name (eg, city) []:hangzhou 
Organization Name (eg, company) [Internet Widgits Pty Ltd]:skyvision 
Organizational Unit Name (eg, section) []:test 
Common Name (eg, YOUR name) []:192.168.1.246   注释:一定要写服务器所在的ip地址 
Email Address []:sky 
3.自签署证书 : 
C:\OpenSSL\bin>openssl x509 -req -in server/server-req.csr -out server/server-cert.pem -signkey server/server-key.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -CAcreateserial -days 3650  
4.将证书导出成浏览器支持的.p12格式 : 
C:\OpenSSL\bin>openssl pkcs12 -export -clcerts -in server/server-cert.pem -inkey server/server-key.pem -out server/server.p12  
密码:changeit 
三.生成client证书。  
1.创建私钥 : 
C:\OpenSSL\bin>openssl genrsa -out client/client-key.pem 1024  
2.创建证书请求 : 
C:\OpenSSL\bin>openssl req -new -out client/client-req.csr -key client/client-key.pem 
----- 
Country Name (2 letter code) [AU]:cn 
State or Province Name (full name) [Some-State]:zhejiang 
Locality Name (eg, city) []:hangzhou 
Organization Name (eg, company) [Internet Widgits Pty Ltd]:skyvision 
Organizational Unit Name (eg, section) []:test 
Common Name (eg, YOUR name) []:sky 
Email Address []:sky      注释:就是登入中心的用户(本来用户名应该是Common Name,但是中山公安的不知道为什么使用的Email Address,其他版本没有测试) 
Please enter the following 'extra' attributes 
to be sent with your certificate request 
A challenge password []:123456 
An optional company name []:tsing  
3.自签署证书 : 
C:\OpenSSL\bin>openssl x509 -req -in client/client-req.csr -out client/client-cert.pem -signkey client/client-key.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -CAcreateserial -days 3650  
4.将证书导出成浏览器支持的.p12格式 : 
C:\OpenSSL\bin>openssl pkcs12 -export -clcerts -in client/client-cert.pem -inkey client/client-key.pem -out client/client.p12  
密码:changeit 

== End 参考==

请一定严格根据里面的步骤来,待实验成功后,修改你自己想要修改的内容。我就是一开始没有安装该填写的来,结果生成的证书就无法配对成功。

 

3. C++实战例子

参考:http://hoytluo.blog.51cto.com/1154435/564822/

 

== Begin 参考==

近来研究如何使用openssl进行编程,下面是一些概要。

1.使用相同的ca生成两个证书,一个是server.cer,一个是client.cer,注意生成server.cer的时候必须指明证书可以用于服务端的。

 


void EXIT_IF_TRUE(bool x)
{
    if (x) {
        exit(2);
    }
}
// 服务端代码
int Test_openssl_server_v2()
{
    OM_NetworkInit();

    SSL_CTX     *ctx;
    SSL         *ssl;
    X509        *client_cert;

    char szBuffer[1024];
    int nLen;

    struct sockaddr_in addr;
    int len;
    int nListenFd, nAcceptFd;

    // 初始化
    SSLeay_add_ssl_algorithms();
    OpenSSL_add_all_algorithms();
    SSL_load_error_strings();
    ERR_load_BIO_strings();

    // 我们使用SSL V3,V2
    EXIT_IF_TRUE((ctx = SSL_CTX_new(SSLv23_method())) == NULL);

    // 要求校验对方证书
    SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER, NULL);

    // 加载CA的证书
    EXIT_IF_TRUE(!SSL_CTX_load_verify_locations(ctx, "cacert.cer", NULL));

    // 加载自己的证书
    EXIT_IF_TRUE(SSL_CTX_use_certificate_file(ctx, "server.cer", SSL_FILETYPE_PEM) <= 0);

    // 加载自己的私钥  
    EXIT_IF_TRUE(SSL_CTX_use_PrivateKey_file(ctx, "server.key", SSL_FILETYPE_PEM) <= 0);

    // 判定私钥是否正确  
    EXIT_IF_TRUE(!SSL_CTX_check_private_key(ctx));

    // 创建并等待连接
    nListenFd = socket(PF_INET, SOCK_STREAM, 0);
    struct sockaddr_in my_addr;
    memset(&my_addr, 0, sizeof(my_addr));
    my_addr.sin_family = PF_INET;
    my_addr.sin_port = htons(8812);
    my_addr.sin_addr.s_addr = inet_addr("127.0.0.1");//  INADDR_ANY;
    if (bind(nListenFd, (struct sockaddr *)&my_addr, sizeof(struct sockaddr)) == -1) {
        int a = 2;
        int b = a;
    }
    
    //
    listen(nListenFd, 10);

    memset(&addr, 0, sizeof(addr));
    len = sizeof(addr);
    nAcceptFd = accept(nListenFd, (struct sockaddr *)&addr, (int *)&len);
    CPosaLog::Printf(CPosaLog::L_DEBUG, "Accept a connect from [%s:%d]\n",
        inet_ntoa(addr.sin_addr), ntohs(addr.sin_port));

    // 将连接付给SSL  
    EXIT_IF_TRUE((ssl = SSL_new(ctx)) == NULL);
    SSL_set_fd(ssl, nAcceptFd);
    int n1 = SSL_accept(ssl);
    if (n1 == -1) {
        const char* p1 = SSL_state_string_long(ssl);
        int a = 2;
        int b = a;
    }
    // 进行操作  
    memset(szBuffer, 0, sizeof(szBuffer));
    nLen = SSL_read(ssl, szBuffer, sizeof(szBuffer));
    CPosaLog::Printf(CPosaLog::L_DEBUG, "Get Len %d %s ok\n", nLen, szBuffer);

    strcat(szBuffer, " this is from server");
    SSL_write(ssl, szBuffer, strlen(szBuffer));

    // 释放资源  
    SSL_free(ssl);
    SSL_CTX_free(ctx);
    closesocket(nAcceptFd);

    return 0;
}
// 客户端代码
int Test_openssl_client_v2()
{
    OM_NetworkInit();

    SSL_METHOD  *meth;
    SSL_CTX     *ctx;
    SSL         *ssl;

    int nFd;
    int nLen;
    char szBuffer[1024];

    // 初始化
    SSLeay_add_ssl_algorithms();
    OpenSSL_add_all_algorithms();
    SSL_load_error_strings();
    ERR_load_BIO_strings();

    // 我们使用SSL V3,V2
    EXIT_IF_TRUE((ctx = SSL_CTX_new(SSLv23_method())) == NULL);

    // 要求校验对方证书
    SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER, NULL);

    // 加载CA的证书
    EXIT_IF_TRUE(!SSL_CTX_load_verify_locations(ctx, "cacert.cer", NULL));

    // 加载自己的证书
    EXIT_IF_TRUE(SSL_CTX_use_certificate_file(ctx, "client.cer", SSL_FILETYPE_PEM) <= 0);

    // 加载自己的私钥
    EXIT_IF_TRUE(SSL_CTX_use_PrivateKey_file(ctx, "client.key", SSL_FILETYPE_PEM) <= 0);

    // 判定私钥是否正确
    EXIT_IF_TRUE(!SSL_CTX_check_private_key(ctx));

    // new
    // 创建连接
    nFd = socket(PF_INET, SOCK_STREAM, 0);
    struct sockaddr_in dest;
    memset(&dest, 0, sizeof(dest));
    dest.sin_family = AF_INET;
    dest.sin_port = htons(8812);
    dest.sin_addr.s_addr = inet_addr("127.0.0.1");
    if (connect(nFd, (struct sockaddr *) &dest, sizeof(dest)) != 0) {
        perror("Connect ");
        exit(errno);
    }

    // 将连接付给SSL
    EXIT_IF_TRUE((ssl = SSL_new(ctx)) == NULL);
    SSL_set_fd(ssl, nFd);
    int n1 = SSL_connect(ssl);
    if (n1 == -1) {
        int n2 = SSL_get_error(ssl, n1);

        const char* p1 = SSL_state_string(ssl);
    }

    // 进行操作
    sprintf(szBuffer, "this is from client %d", getpid());
    int nWriten = SSL_write(ssl, szBuffer, strlen(szBuffer));

    // 释放资源
    memset(szBuffer, 0, sizeof(szBuffer));
    nLen = SSL_read(ssl, szBuffer, sizeof(szBuffer));
    CPosaLog::Printf(CPosaLog::L_DEBUG, "Get Len %d %s ok\n", nLen, szBuffer);

    SSL_free(ssl);
    SSL_CTX_free(ctx);
    closesocket(nFd);

    return 0;
}

 

==End 参考==

PS: 我将原link里面的代码改成我修改过后的了。

 

经过上面3个步骤,基本上可以算是了解了ssl原理以及openssl的使用了。

 

哈哈啊。。喔哈哈哈。

圆月弯刀丶
关注
  • 7
    点赞
  • 66
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
使用OpenSSL生成/签发证书原理、流程与示例
Laurence的技术博客
03-20 1万+
文章目录1 生成证书的步骤与原理2 标准的CA签发流程2.1 创建私钥(.key)2.2 基于私钥创建证书签名请求(.csr)2.3 (可选)直接同时生成私钥和证书签名请求2.4 将证书申请请求(.csr)提交给CA认证机构申请证书(.crt)2.5 CA机构生成CA证书链3 生成自签名证书3.1 创建私钥(.key)3.2 基于私钥(.key)创建证书签名请求(.csr)3.3 (可选)直接同时生成私钥(.key)和证书签名请求(.csr)3.4 使用自己的私钥(.key)签署自己的证书签名请求(.csr
openssl生成证书+安装+使用实例
g1531997389的博客
04-23 8332
openssl生成证书主要为以下三步:1. 生成CA证书2. 生成Server证书3.生成Client证书一. 安装openssl(windows)下载地址:http://slproweb.com/products/Win32OpenSSL.html1.1 选择32位或者64位合适的版本下载1.2 设置环境变量,变量值为应用安装目录下的bin目录,如C:\OpenSSL-Win64\bin二. 证...
Linux命令之openssl命令
热门推荐
月生的静心苑
10-25 1万+
openssl是一个功能极其强大的命令行工具,可以用来完成公钥体系(Public Key Infrastructure)及HTTPS相关的很多任务。openssl是一个强大的安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。   openssl有两种运行模式:交互模式和批处理模式。...
使用Openssl生成证书CA以及签发子证书
technologyleader的专栏
12-17 4191
openssl是当前非常流行的SSL密码库工具,如果服务器或者网站需要使用https协议,就需要使用openssl工具生成证书。 之前在Windows上有用Perl编译过OpenSSL,这次项目上要搭一个https server需要用它来生成自签名证书,其中我的配置文件在openssl/apps/openssl.cnf,编译后openssl.exe在openssl/out32dll文件夹中。 准备工作: 需要在系统系统配置文件中配置openssl.cnf的路径,后面生成证书时会用到。 下面.
openssl 生成证书步骤
最新发布
hinewcc的博客
05-08 1905
本地使用 openssl 生成证书
本地调试,解决证书错误
u010227042的博客
02-20 1606
申请的证书,都需要验证DNS或验证网站。 本地测试无法验证了,https总是提示“证书错误”。 如何让浏览器认为本地站点是安全的,避免每次访问提示“没有加密”? 安装一个自签名证书。 1 下载openssl。 http://slproweb.com/products/Win32OpenSSL.html 到这里下载一个windows版本的(1.1.1d),有32/64位的,有正常几十M的,也有light版本3M左右的。 比如Win64OpenSSL_Light-1_1_1d.exe 就是64..
服务器配置https协议,三种免费的方法
diyanzong6528的博客
09-03 620
最近想搞一个网站玩玩,发布网站用https协议已经是大势所趋了。例如微信小程序,不使用https协议根本不让接入。所以,分享一下我尝试过的三种方法。 1.Linux自签(OPENSSL生成SSL自签证书) 2.阿里云免费证书 3.Let's Encrypt永久免费SSL证书【墙裂推荐】 一、Linux自签(OPENSSL生成SSL自签证书) 第1步:生成私钥 执行如下命令生成一个RS...
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
01-16
使用 `openssl req` 命令来生成证书请求,然后用 `openssl x509` 命令签发证书: ```shell # 创建证书请求 openssl req -new -key ca.key -out ca.csr # 自签名CA证书 openssl x509 -req -days 3650 -in ca.csr -...
java + keytool+openssl 实现批量生成客户端证书
06-07
使用Java实现根据ca购买到的根证书 批量生产客户端需要的.bks和.cer文件,从而实现双向认证
使用openssl 生成免费证书的方法步骤
01-10
即百度百科说:openssl是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,它可以避免信息被窃听到。 SSL是Secure Sockets Layer(安全套接层协议)的缩写,可以在Internet上提供秘密性传输。...
使用OpenSSL生成Kubernetes证书的介绍
09-30
在Kubernetes集群中,安全通信是至关重要的,而证书扮演着关键角色。...通过本文,你应该对如何使用OpenSSL生成Kubernetes证书有了基本的认识,这对于你的Kubernetes集群管理和运维工作将大有裨益。
signature=0a1a840700a557419aa11d6be9a4600e,熟练掌握 openssl 证书命令说明
weixin_30499557的博客
05-29 196
熟练掌握 openssl 证书命令说明2、在我电脑建立好一个目录,并启动 terminal ,进入该目录cd /Users/dhbm/Desktop/ssl/sign2018072913、生成Self Signed证书1)、生成一个key(我的私钥)openssl genrsa -des3 -out selfsign.key 4096结果 (过程中 密码: 123456)Generating RS...
申请CA证书的步骤
Gavin
04-21 6462
我们再日常使用的系统中会用到很多签名的地方, 再win中 控制台输入certmgr.msc 随机查看证书OpenSSL OpenSSL—安全套接字协议 在计算机网络上,OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上。 几个关键词— CSR 证书签名请求文件 CRT 证书 key 私钥 以上知识一些基础的内容,我们再来说OpenSSL,首先他是一个协议—安全套接字协议,他的黑犀.
openSSL双向数字证书认证
li123128的博客
11-16 1030
  注:SSL双向数字证书认证原理,请阅读上篇文章《SSL 与 数字证书基本概念和工作原理》      一:生成CA证书      目前不使用第三方权威机构的CA来认证,自己充当CA的角色。      openssl中有如下后缀名的文件      .key格式:私有的密钥      .csr格式:证书签名请求(证书请求文件),含有公钥信息,certificate signing request...
SSL安全证书生成及概念解释
weixin_42258128的博客
08-20 4479
SSL安全证书-概念解析   一、关于证书 数字证书是一种认证机制。简单点说,它代表了一种由权威机构颁发授权的安全标志。 由来 在以前,传统网站采用HTTP协议进行数据传输,所有的数据几乎都用的明文,很容易发生隐私泄露。为了解决安全问题,大家开始考虑采用加解密的方案,于是乎诞生了公钥加密(非对称加解密)及签名算法。浏览器从服务端得到公钥,经过协商并生成动态密钥,此后所有的请求响应都基于动...
phpstudy双向认证https证书Nginx
weixin_43751946的博客
07-23 1652
phpStudy是一个PHP调试环境的程序集成包 该程序包集成最新的Apache+PHP+MySQL+NIGINX+phpMyAdmin+ZendOptimizer,一次性安装,无须配置即可使用,是非常方便、好用的PHP调试环境.该程序不仅包括PHP调试环境,还包括了数据库、开发工具、开发手册等.。同时phpStudy还自带有openssl工具(我们证书生成所要用到的); 下载地址:http://phpstudy.php.cn/ 本人用过8版本,没有旧版本本地认证证书方便,所以这篇主要记录旧版本phpstu
史上最详细的Openssl搭建及ssl原理解析
杰森斯坦陈的博客
05-08 2496
文章目录一、SSL:secure sokets layer(安全套接字层)1.套接字的概念SSL的概念二、SSL保证的目标与防范的攻击保密性confidentiality完整性integrity可用性availability三、攻击类型 一、SSL:secure sokets layer(安全套接字层) 1.套接字的概念 两个主机通信时,其实本质上也就是两个进程之间的通信,而进程通信当然需要标记,...
win64使用openssl生成ca证书
05-06 569
展开 一、准备工作: 1、下载win64的Openssl,可到http://slproweb.com/products/Win32OpenSSL.html下载,这里下载1.0.1j版本。同时在该地址下载Visual C++ 2008Redistributables (x64)。如下图: 先安装Visual C++ 2008Redistributables (x64),然后安装Win64 O...
使用openssl PKCS#8 生成证书
06-01
好的,我可以为您提供一些关于使用 OpenSSL 生成 PKCS#8 证书的简单说明。请注意,这只是一个简单的指南,如果您需要更详细的信息,请查阅 OpenSSL 文档或咨询专业人士。 步骤如下: 1. 生成私钥 要生成私钥,可以使用以下命令: ``` openssl genpkey -algorithm RSA -out private_key.pem -aes128 ``` 这将生成一个 RSA 算法的私钥,并将其保存在名为 "private_key.pem" 的文件中。 "-aes128" 选项将使用 128 位的对称加密算法来保护私钥文件。在生成私钥时,您将被要求输入一个密码来保护私钥文件。 2. 生成证书请求 接下来,您需要生成一个证书请求 (CSR),它将包含您的公钥和一些其他信息,以便证书颁发机构 (CA) 可以使用它来签署您的证书。要生成 CSR,请使用以下命令: ``` openssl req -new -key private_key.pem -out certificate_request.csr ``` 这将使用您在步骤 1 中生成的私钥来创建一个新的 CSR,并将其保存在名为 "certificate_request.csr" 的文件中。在生成 CSR 时,您将被要求提供一些其他信息,例如您的组织名称、国家/地区、城市等。 3. 生成证书 一旦您获得了 CSR,您可以将其发送给 CA,以便他们签署您的证书。但是,如果您正在使用自签名证书,或者您是 CA,那么您需要使用 CSR 和您的私钥来生成证书。要生成证书,请使用以下命令: ``` openssl x509 -req -in certificate_request.csr -signkey private_key.pem -out certificate.pem ``` 这将使用您在步骤 1 中生成的私钥来签署您的 CSR,并将签名后的证书保存在名为 "certificate.pem" 的文件中。 4. 将证书导出为 PKCS#8 格式 如果您需要将证书导出为 PKCS#8 格式,可以使用以下命令: ``` openssl pkcs8 -topk8 -in private_key.pem -out pkcs8_private_key.pem -nocrypt ``` 这将将您在步骤 1 中生成的私钥导出为 PKCS#8 格式,并将其保存在名为 "pkcs8_private_key.pem" 的文件中。 "-nocrypt" 选项指定不使用密码保护私钥文件。 希望这些步骤能够帮助您生成 PKCS#8 证书

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值