---

數字證書原理（〇）認識SSL

SSL數字證書（一）CA、根證書與數字證書

SSL數字證書（二）使用makecert.exe簽發證書

SSL數字證書（三）使用 openssl 生成證書

---

轉載自《使用 openssl 生成證書》

---

一、openssl 簡介

openssl 是目前最流行的 SSL 密碼庫工具，其提供了一個通用、健壯、功能完備的工具套件，用以支持SSL/TLS 協議的實現。
官網：https://www.openssl.org/source/

構成部分

密碼算法庫

密鑰和證書封裝管理功能

SSL通信API接口

用途

建立 RSA、DH、DSA key 參數

建立 X.509 證書、證書簽名請求(CSR)和CRLs(證書回收列表)

計算消息摘要

使用各種 Cipher加密/解密

SSL/TLS 客戶端以及服務器的測試

處理S/MIME 或者加密郵件

二、RSA密鑰操作（生成非對稱密鑰對）

默認情況下，openssl 輸出格式為 PKCS#1-PEM

生成RSA私鑰(無加密)

openssl genrsa -out rsa_private.key 2048

生成秘鑰長度為2048的私鑰，秘鑰長度越長越安全，生成公鑰及加密解密時間也越長。（秘鑰長度和ssl證書過期時間長度成正相關性，ssl證書過期時間是防止被暴力破解的一種手段，為了ssl證書安全不應該設置過長的過期時間）

生成RSA公鑰

openssl rsa -in rsa_private.key -pubout -out rsa_public.key

生成RSA私鑰(使用aes256加密)

openssl genrsa -aes256 -passout pass:111111 -out rsa_aes_private.key 2048

其中 passout 代替shell 進行密碼輸入，否則會提示輸入密碼；
生成加密后的內容如：

-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: AES-256-CBC,5584D000DDDD53DD5B12AE935F05A007
Base64 Encoded Data
-----END RSA PRIVATE KEY-----

此時若生成公鑰，需要提供密碼

openssl rsa -in rsa_aes_private.key -passin pass:111111 -pubout -out rsa_public.key

其中 passout 代替shell 進行密碼輸入，否則會提示輸入密碼；

轉換命令

私鑰轉非加密

openssl rsa -in rsa_aes_private.key -passin pass:111111 -out rsa_private.key

私鑰轉加密

openssl rsa -in rsa_private.key -aes256 -passout pass:111111 -out rsa_aes_private.key

私鑰PEM轉DER

openssl rsa -in rsa_private.key -outform der-out rsa_aes_private.der

-inform和-outform 參數制定輸入輸出格式，由der轉pem格式同理

查看私鑰明細

openssl rsa -in rsa_private.key -noout -text

使用-pubin參數可查看公鑰明細

私鑰PKCS#1轉PKCS#8

openssl pkcs8 -topk8 -in rsa_private.key -passout pass:111111 -out pkcs8_private.key

其中-passout指定了密碼，輸出的pkcs8格式密鑰為加密形式，pkcs8默認采用des3 加密算法，內容如下：

-----BEGIN ENCRYPTED PRIVATE KEY-----
Base64 Encoded Data
-----END ENCRYPTED PRIVATE KEY-----

使用-nocrypt參數可以輸出無加密的pkcs8密鑰，如下：

-----BEGIN PRIVATE KEY-----
Base64 Encoded Data
-----END PRIVATE KEY-----

三、生成自簽名證書

生成 RSA 私鑰和自簽名證書

openssl req -newkey rsa:2048 -nodes -keyout rsa_private.key -x509 -days 365 -out cert.crt

req是證書請求的子命令，-newkey rsa:2048 -keyout private_key.pem 表示生成私鑰(PKCS8格式)，-nodes 表示私鑰不加密，若不帶參數將提示輸入密碼；
-x509表示輸出證書，-days365 為有效期，此后根據提示輸入證書擁有者信息；
若執行自動輸入，可使用**-subj**選項：

openssl req -newkey rsa:2048 -nodes -keyout rsa_private.key -x509 -days 365 -out cert.crt -subj “/C=CN/ST=GD/L=SZ/O=lwwl/OU=IT/CN=www.lwwl.tech”

注意：CN=www.lwwl.tech必須是你服務器綁定的域名，否則瀏覽器會提示安全驗證問題。
-subj 中還可以帶其他參數：
-subj “emailAddress=郵箱地址/O=組織名稱/OU=組織單位/C=國家/ST=省份(州)/L=市/縣/CN=公司名稱”
O : Organization , OU : Organization Unit , C : Country , ST : Status , CN : Common Name

使用 已有RSA 私鑰生成自簽名證書

openssl req -new -x509 -days 365 -key rsa_private.key -out cert.crt

-new 指生成證書請求，加上-x509 表示直接輸出證書，-key 指定私鑰文件，其余選項與上述命令相同。
crt是生成的數字證書。

四、生成簽名請求及CA 簽名

使用 RSA私鑰生成 CSR 簽名請求
csr是證書請求文件，用于提交給CA生成數字證書。

openssl genrsa -aes256 -passout pass:111111 -out server.key 2048
openssl req -new -key server.key -out server.csr

此后輸入密碼、server證書信息完成，也可以命令行指定各類參數

openssl req -new -key server.key -passin pass:111111 -out server.csr -subj “/C=CN/ST=GD/L=SZ/O=lwwl/OU=IT/CN=www.lwwl.tech”

*** 此時生成的 csr簽名請求文件可提交至 CA進行簽發 ***

查看CSR 的細節

cat server.csr
-----BEGIN CERTIFICATE REQUEST-----
Base64EncodedData
-----END CERTIFICATE REQUEST-----

openssl req -noout -text -in server.csr

使用 CA 證書及CA密鑰 對請求簽發證書進行簽發，生成 x509證書

openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey ca.key -passin pass:111111 -CAcreateserial -out server.crt

其中 CAxxx 選項用于指定CA 參數輸入

五、證書查看及轉換

查看證書細節

openssl x509 -in cert.crt -noout -text

轉換證書編碼格式

openssl x509 -in cert.cer -inform DER -outform PEM -out cert.pem

合成 pkcs#12 證書(含私鑰)

** 將 pem 證書和私鑰轉 pkcs#12 證書 **

openssl pkcs12 -export -in server.crt -inkey server.key -passin pass:111111 -password pass:111111 -out server.p12

其中-export指導出pkcs#12 證書，-inkey 指定了私鑰文件，-passin 為私鑰(文件)密碼(nodes為無加密)，-password 指定 p12文件的密碼(導入導出)

* 將 pem 證書和私鑰/CA 證書 合成pkcs#12 證書***

openssl pkcs12 -export -in server.crt -inkey server.key -passin pass:111111 -chain -CAfile ca.crt -password pass:111111 -out server-all.p12

其中-chain指示同時添加證書鏈，-CAfile 指定了CA證書，導出的p12文件將包含多個證書。(其他選項：-name可用于指定server證書別名；-caname用于指定ca證書別名)

* pcks#12 提取PEM文件(含私鑰)* **

openssl pkcs12 -in server.p12 -password pass:111111 -passout pass:111111 -out out/server.pem

其中-password 指定 p12文件的密碼(導入導出)，-passout指輸出私鑰的加密密碼(nodes為無加密)
導出的文件為pem格式，同時包含證書和私鑰(pkcs#8)：

Bag AttributeslocalKeyID: 97 DD 46 3D 1E 91 EF 01 3B 2E 4A 75 81 4F 11 A6 E7 1F 79 40 subject=/C=CN/ST=GD/L=SZ/O=lwwl/OU=IT/CN=www.lwwl.tech issuer=/C=CN/ST=GD/L=SZ/O=lwwl/OU=IT/CN=www.lwwl.tech -----BEGIN CERTIFICATE----- MIIDazCCAlMCCQCIOlA9/dcfEjANBgkqhkiG9w0BAQUFADB5MQswCQYDVQQGEwJD 1LpQCA+2B6dn4scZwaCD -----END CERTIFICATE----- Bag AttributeslocalKeyID: 97 DD 46 3D 1E 91 EF 01 3B 2E 4A 75 81 4F 11 A6 E7 1F 79 40 Key Attributes: <No Attributes> -----BEGIN ENCRYPTED PRIVATE KEY----- MIIEvAIBADANBgkqhkiG9w0BAQEFAASCBKYwggSiAgEAAoIBAQDC/6rAc1YaPRNf K9ZLHbyBTKVaxehjxzJHHw== -----END ENCRYPTED PRIVATE KEY-----

僅提取私鑰

openssl pkcs12 -in server.p12 -password pass:111111 -passout pass:111111 -nocerts -out out/key.pem

僅提取證書(所有證書)

openssl pkcs12 -in server.p12 -password pass:111111 -nokeys -out out/key.pem

僅提取ca證書

openssl pkcs12 -in server-all.p12 -password pass:111111 -nokeys -cacerts -out out/cacert.pem

僅提取server證書

openssl pkcs12 -in server-all.p12 -password pass:111111 -nokeys -clcerts -out out/cert.pem

六、openssl 命令參考

1. openssl list-standard-commands(標準命令)1) asn1parse: asn1parse用于解釋用ANS.1語法書寫的語句(ASN一般用于定義語法的構成) 2) ca: ca用于CA的管理 openssl ca [options]:2.1) -selfsign使用對證書請求進行簽名的密鑰對來簽發證書。即"自簽名"，這種情況發生在生成證書的客戶端、簽發證書的CA都是同一臺機器(也是我們大多數實驗中的情況)，我們可以使用同一個 密鑰對來進行"自簽名"2.2) -in file需要進行處理的PEM格式的證書2.3) -out file處理結束后輸出的證書文件2.4) -cert file用于簽發的根CA證書2.5) -days arg 指定簽發的證書的有效時間2.6) -keyfile arg CA的私鑰證書文件2.7) -keyform argCA的根私鑰證書文件格式:2.7.1) PEM2.7.2) ENGINE 2.8) -key arg CA的根私鑰證書文件的解密密碼(如果加密了的話)2.9) -config file 配置文件example1: 利用CA證書簽署請求證書openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key 3) req: X.509證書簽發請求(CSR)管理openssl req [options] <infile >outfile3.1) -inform arg輸入文件格式3.1.1) DER3.1.2) PEM3.2) -outform arg 輸出文件格式3.2.1) DER3.2.2) PEM3.3) -in arg待處理文件3.4) -out arg待輸出文件3.5) -passin 用于簽名待生成的請求證書的私鑰文件的解密密碼3.6) -key file用于簽名待生成的請求證書的私鑰文件3.7) -keyform arg 3.7.1) DER3.7.2) NET3.7.3) PEM3.8) -new新的請求3.9) -x509 輸出一個X509格式的證書 3.10) -daysX509證書的有效時間 3.11) -newkey rsa:bits 生成一個bits長度的RSA私鑰文件，用于簽發 3.12) -[digest]HASH算法3.12.1) md53.12.2) sha13.12.3) md23.12.4) mdc23.12.5) md43.13) -config file 指定openssl配置文件3.14) -text: text顯示格式example1: 利用CA的RSA密鑰創建一個自簽署的CA證書(X.509結構) openssl req -new -x509 -days 3650 -key server.key -out ca.crt example2: 用server.key生成證書簽署請求CSR(這個CSR用于之外發送待CA中心等待簽發)openssl req -new -key server.key -out server.csrexample3: 查看CSR的細節openssl req -noout -text -in server.csr4) genrsa: 生成RSA參數openssl genrsa [args] [numbits][args]4.1) 對生成的私鑰文件是否要使用加密算法進行對稱加密:4.1.1) -des: CBC模式的DES加密4.1.2) -des3: CBC模式的DES加密4.1.3) -aes128: CBC模式的AES128加密4.1.4) -aes192: CBC模式的AES192加密4.1.5) -aes256: CBC模式的AES256加密4.2) -passout arg: arg為對稱加密(des、des、aes)的密碼(使用這個參數就省去了console交互提示輸入密碼的環節)4.3) -out file: 輸出證書私鑰文件[numbits]: 密鑰長度example: 生成一個1024位的RSA私鑰，并用DES加密(密碼為1111)，保存為server.key文件openssl genrsa -out server.key -passout pass:1111 -des3 1024 5) rsa: RSA數據管理openssl rsa [options] <infile >outfile5.1) -inform arg輸入密鑰文件格式:5.1.1) DER(ASN1)5.1.2) NET5.1.3) PEM(base64編碼格式)5.2) -outform arg輸出密鑰文件格式5.2.1) DER5.2.2) NET5.2.3) PEM5.3) -in arg待處理密鑰文件 5.4) -passin arg輸入這個加密密鑰文件的解密密鑰(如果在生成這個密鑰文件的時候，選擇了加密算法了的話)5.5) -out arg待輸出密鑰文件5.6) -passout arg 如果希望輸出的密鑰文件繼續使用加密算法的話則指定密碼 5.7) -des: CBC模式的DES加密5.8) -des3: CBC模式的DES加密5.9) -aes128: CBC模式的AES128加密5.10) -aes192: CBC模式的AES192加密5.11) -aes256: CBC模式的AES256加密5.12) -text: 以text形式打印密鑰key數據 5.13) -noout: 不打印密鑰key數據 5.14) -pubin: 檢查待處理文件是否為公鑰文件5.15) -pubout: 輸出公鑰文件example1: 對私鑰文件進行解密openssl rsa -in server.key -passin pass:111 -out server_nopass.keyexample:2: 利用私鑰文件生成對應的公鑰文件openssl rsa -in server.key -passin pass:111 -pubout -out server_public.key6) x509:本指令是一個功能很豐富的證書處理工具?？梢杂脕盹@示證書的內容，轉換其格式，給CSR簽名等X.509證書的管理工作openssl x509 [args] 6.1) -inform arg待處理X509證書文件格式6.1.1) DER6.1.2) NET6.1.3) PEM6.2) -outform arg 待輸出X509證書文件格式6.2.1) DER6.2.2) NET6.2.3) PEM6.3) -in arg 待處理X509證書文件6.4) -out arg 待輸出X509證書文件6.5) -req 表明輸入文件是一個"請求簽發證書文件(CSR)"，等待進行簽發 6.6) -days arg 表明將要簽發的證書的有效時間 6.7) -CA arg 指定用于簽發請求證書的根CA證書 6.8) -CAform arg 根CA證書格式(默認是PEM) 6.9) -CAkey arg 指定用于簽發請求證書的CA私鑰證書文件，如果這個option沒有參數輸入，那么缺省認為私有密鑰在CA證書文件里有6.10) -CAkeyform arg 指定根CA私鑰證書文件格式(默認為PEM格式)6.11) -CAserial arg 指定序列號文件(serial number file)6.12) -CAcreateserial 如果序列號文件(serial number file)沒有指定，則自動創建它 example1: 轉換DER證書為PEM格式openssl x509 -in cert.cer -inform DER -outform PEM -out cert.pemexample2: 使用根CA證書對"請求簽發證書"進行簽發，生成x509格式證書openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crtexample3: 打印出證書的內容openssl x509 -in server.crt -noout -text 7) crl: crl是用于管理CRL列表 openssl crl [args]7.1) -inform arg輸入文件的格式7.1.1) DER(DER編碼的CRL對象)7.1.2) PEM(默認的格式)(base64編碼的CRL對象)7.2) -outform arg指定文件的輸出格式 7.2.1) DER(DER編碼的CRL對象)7.2.2) PEM(默認的格式)(base64編碼的CRL對象)7.3) -text: 以文本格式來打印CRL信息值。7.4) -in filename指定的輸入文件名。默認為標準輸入。7.5) -out filename指定的輸出文件名。默認為標準輸出。7.6) -hash輸出頒發者信息值的哈希值。這一項可用于在文件中根據頒發者信息值的哈希值來查詢CRL對象。7.7) -fingerprint打印CRL對象的標識。7.8) -issuer輸出頒發者的信息值。7.9) -lastupdate輸出上一次更新的時間。7.10) -nextupdate打印出下一次更新的時間。 7.11) -CAfile file指定CA文件，用來驗證該CRL對象是否合法。 7.12) -verify是否驗證證書。 example1: 輸出CRL文件，包括(頒發者信息HASH值、上一次更新的時間、下一次更新的時間)openssl crl -in crl.crl -text -issuer -hash -lastupdate –nextupdate example2: 將PEM格式的CRL文件轉換為DER格式openssl crl -in crl.pem -outform DER -out crl.der 8) crl2pkcs7: 用于CRL和PKCS#7之間的轉換 openssl crl2pkcs7 [options] <infile >outfile轉換pem到spcopenssl crl2pkcs7 -nocrl -certfile venus.pem -outform DER -out venus.spchttps://www.openssl.org/docs/apps/crl2pkcs7.html9) pkcs12: PKCS#12數據的管理pkcs12文件工具，能生成和分析pkcs12文件。PKCS#12文件可以被用于多個項目，例如包含Netscape、 MSIE 和 MS Outlookopenssl pkcs12 [options] http://blog.csdn.net/as3luyuan123/article/details/16105475https://www.openssl.org/docs/apps/pkcs12.html10) pkcs7: PCKS#7數據的管理 用于處理DER或者PEM格式的pkcs#7文件openssl pkcs7 [options] <infile >outfilehttp://blog.csdn.net/as3luyuan123/article/details/16105407https://www.openssl.org/docs/apps/pkcs7.html2. openssl list-message-digest-commands(消息摘要命令)1) dgst: dgst用于計算消息摘要 openssl dgst [args]1.1) -hex 以16進制形式輸出摘要1.2) -binary 以二進制形式輸出摘要1.3) -sign file 以私鑰文件對生成的摘要進行簽名1.4) -verify file 使用公鑰文件對私鑰簽名過的摘要文件進行驗證 1.5) -prverify file 以私鑰文件對公鑰簽名過的摘要文件進行驗證verify a signature using private key in file1.6) 加密處理1.6.1) -md5: MD5 1.6.2) -md4: MD4 1.6.3) -sha1: SHA1 1.6.4) -ripemd160example1: 用SHA1算法計算文件file.txt的哈西值，輸出到stdoutopenssl dgst -sha1 file.txtexample2: 用dss1算法驗證file.txt的數字簽名dsasign.bin，驗證的private key為DSA算法產生的文件dsakey.pemopenssl dgst -dss1 -prverify dsakey.pem -signature dsasign.bin file.txt2) sha1: 用于進行RSA處理openssl sha1 [args] 2.1) -sign file用于RSA算法的私鑰文件 2.2) -out file輸出文件愛你2.3) -hex 以16進制形式輸出2.4) -binary以二進制形式輸出 example1: 用SHA1算法計算文件file.txt的HASH值,輸出到文件digest.txtopenssl sha1 -out digest.txt file.txtexample2: 用sha1算法為文件file.txt簽名,輸出到文件rsasign.bin，簽名的private key為RSA算法產生的文件rsaprivate.pemopenssl sha1 -sign rsaprivate.pem -out rsasign.bin file.txt3. openssl list-cipher-commands (Cipher命令的列表)1) aes-128-cbc2) aes-128-ecb3) aes-192-cbc4) aes-192-ecb5) aes-256-cbc6) aes-256-ecb7) base648) bf9) bf-cbc10) bf-cfb11) bf-ecb12) bf-ofb13) cast14) cast-cbc15) cast5-cbc16) cast5-cfb17) cast5-ecb18) cast5-ofb19) des20) des-cbc21) des-cfb22) des-ecb23) des-ede24) des-ede-cbc25) des-ede-cfb26) des-ede-ofb27) des-ede328) des-ede3-cbc29) des-ede3-cfb30) des-ede3-ofb31) des-ofb32) des333) desx34) rc235) rc2-40-cbc36) rc2-64-cbc37) rc2-cbc38) rc2-cfb39) rc2-ecb40) rc2-ofb41) rc442) rc4-40

參考

SSL 證書格式普及，PEM、CER、JKS、PKCS12

總結

以上是生活随笔為你收集整理的SSL数字证书（三）使用 openssl 生成证书的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。