openssl简介
OpenSSL
是一个开源项目,其组成主要包括一下三个组件:
-
openssl
:多用途的命令行工具 -
libcrypto
:加密算法库 -
libssl
:加密模块应用库,实现了ssl及tls
openssl
可以实现:秘钥证书管理、对称加密和非对称加密更多简介和官网。
指令
平时我们使用openssl
最多的莫过于使用指令了,而最为常见的几个指令如下:
-
genrsa
生成RSA参数 req
x509
rsa
ca
genrsa
简介
平时主要用来生成私钥,选择使用的算法、对称加密密码和私钥长度来生成私钥。
基本用法:
openssl genrsa [args] [numbits]
其中常见的参数:【更多参数查看:openssl genrsa -help】
args1 对生成的私钥文件是否要使用加密算法进行对称加密:
-des : CBC模式的DES加密
-des3 : CBC模式的3DES加密
-aes128 : CBC模式的AES128加密
-aes192 : CBC模式的AES192加密
-aes256 : CBC模式的AES256加密
args2 对称加密密码
-passout passwords
其中passwords为对称加密(des、3des、aes)的密码(使用这个参数就省去了console交互提示输入密码的环节)
args3 输出文件
-out file : 输出证书私钥文件
[numbits]: 密钥长度,理解为私钥长度
生成一个2048位的RSA私钥,并用des3加密(密码为123456),保存为server.key文件
openssl genrsa -des3 -passout pass:123456 -out server.key 1024
// -des3 是第一个参数args1;
// -passout pass:123456 是第二个参数写法 args2
// -out server.key 第三个参数args3;
// 2048 最后一个[numbits]参数
req
req
的基本功能主要有两个:生成证书请求和生成自签名证书,当然这并不是其全部功能,但是这两个最为常见;
常见使用方法:
openssl req [args] outfile
主要参数:【更多参数查看:openssl req -help】
args1 是输入输入文件格式:-inform arg
-inform DER 使用输入文件格式为DER
-inform PEM 使用输入文件格式为PEM
args2 输出文件格式:-outform arg
-outform DER 使用输出文件格式为DER
-outform PEM 使用输出文件格式为PEM
args3 是待处理文件
-in inputfilepath
args4 待输出文件
-out outputfilepath
args5 用于签名待生成的请求证书的私钥文件的解密密码
-passin passwords
args6 用于签名待生成的请求证书的私钥文件
-key file
args7指定输入密钥的编码格式 -keyform arg
-keyform DER
-keyform NET
-keyform PEM
args8 生成新的证书请求
-new
args9输出一个X509格式的证书,签名证书时使用
-x509
args10使用X509签名证书的有效时间
-days // -days 3650 有效期10年
args11生成一个bits长度的RSA私钥文件,用于签发【生成私钥、并生成自签名证书】
-newkey rsa:bits
args12设置HASH算法-[digest]【生成私钥指定的hash摘要算法】
-md5
-sha1 // 高版本浏览器开始不信任这种算法
-md2
-mdc2
-md4
args13指定openssl配置文件,很多内容不容易通过参数配置,可以指定配置文件
-config filepath
args14 显示格式txt【用于查看证书、私钥信息】
-text
使用的案例:利用私钥生成证书请求csr
openssl req -new -key server.key -out server.csr
使用案例:利用私钥生成自签名证书
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt
x509
x509
是一个功能很丰富的证书处理工具。可以用来显示证书的内容,转换其格式,给CSR签名等X.509证书的管理工作;
用法如下:
openssl x509 [args]
参数如下:【更多参数查看:openssl x509 -help】
args1 是输入输入文件格式:-inform arg
-inform DER 使用输入文件格式为DER
-inform PEM 使用输入文件格式为PEM
args2 输出文件格式:-outform arg
-outform DER 使用输出文件格式为DER
-outform PEM 使用输出文件格式为PEM
args3 是待处理X509证书文件
-in inputfilepath
args4 待输出X509证书文件
-out outputfilepath
args5表明输入文件是一个"请求签发证书文件(CSR)",等待进行签发
-req
args6签名证书的有效时间
-days // -days 3650 有效期10年
args7 指定用于签发请求证书的根CA证书
-CA arg
args8 根CA证书格式(默认是PEM)
-CAform arg
args9 指定用于签发请求证书的CA私钥证书文件
-CAkey arg
args10 指定根CA私钥证书文件格式(默认为PEM格式)
-CAkeyform arg
args11 指定序列号文件(serial number file)
-CAserial arg
args12 如果序列号文件(serial number file)没有指定,则自动创建它
-CAcreateserial
args13设置HASH算法-[digest]【生成私钥指定的hash摘要算法】
-md5
-sha1 // 高版本浏览器开始不信任这种算法
-md2
-mdc2
-md4
使用实例: 使用根CA证书[ca.crt]和私钥[ca.key]对"请求签发证书"[server.csr]进行签发,生成x509格式证书
openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out serverx509.crt
使用实例:
rsa
ca
自签名过程
chrome自签名证书问题
hash/摘要算法sha1的不安全性
Google官方博客宣布,将在Chrome浏览器中逐渐降低SHA-1证书的安全指示。但有意思的是Google.com目前使用的也是SHA-1签名的证书,但证书将在3个月内过期,Google将从2015年起使用SHA-2签名的证书。SHA-1算法目前尚未发现严重的弱点,但伪造证书所需费用正越来越低。
chrome提示缺失subjectAltName问题
原有的简单自签名证书在chrome里面不好使了,提示 missing_subjectAltName
missing_subjectAltName问题解决;
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用
。你还可以使用@
来通知其他用户。