`

常用Openssl命令 ssl

阅读更多

申请证书

openssl s_client -connect xingren.com:443

 

SSL常用于身份验证、数据加密等应用中,要使用SSL,我们密码有自己的证书。数字证书一般要向专业的认证公司(如VeriSign)申请,并且都是收费的,某些情况下,我们只是想使用加密的数据通信,而不在乎认证,这时就可以自己制作一个证书,自己制作一个证书,有两种方式,一种是Self Signed,另一种是自己制作一个CA,然后由这个CA,来发布我们需要的证书。下面分别介绍这两个方法。

生成Self Signed证书

复制代码
# 生成一个key,你的私钥,openssl会提示你输入一个密码,可以输入,也可以不输,
# 输入的话,以后每次使用这个key的时候都要输入密码,安全起见,还是应该有一个密码保护
> openssl genrsa -des3 -out selfsign.key 4096

# 使用上面生成的key,生成一个certificate signing request (CSR)
# 如果你的key有密码保护,openssl首先会询问你的密码,然后询问你一系列问题,
# 其中Common Name(CN)是最重要的,它代表你的证书要代表的目标,如果你为网站申请的证书,就要添你的域名。
> openssl req -new -key selfsign.key -out selfsign.csr

# 生成Self Signed证书 selfsign.crt就是我们生成的证书了
> openssl x509 -req -days 365 -in selfsign.csr -signkey selfsign.key -out selfsign.crt

# 另外一个比较简单的方法就是用下面的命令,一次生成key和证书
> openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout privateKey.key -out certificate.crt
复制代码

生成自己的CA (Certificate Authority)

CA是证书的发布者,CA可以发布其他人的证书,把CA的证书加入系统信任的根证书后,由CA发布的证书也被系统所信任,所以,CA的key是必须小心保护的,一般都要加密保护,并且限制为root权限读写。

复制代码
# 生成CA的key
> openssl genrsa -des3 -out ca.key 4096

# 生成CA的证书
> openssl req -new -x509 -days 365 -key ca.key -out ca.crt

# 生成我们的key和CSR这两步与上面Self Signed中是一样的
> openssl genrsa -des3 -out myserver.key 4096
> openssl req -new -key myserver.key -out myserver.csr

# 使用ca的证书和key,生成我们的证书
# 这里的set_serial指明了证书的序号,如果证书过期了(365天后),
# 或者证书key泄漏了,需要重新发证的时候,就要加1
> openssl x509 -req -days 365 -in myserver.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out myserver.crt
复制代码

查看证书

复制代码
# 查看KEY信息
> openssl rsa -noout -text -in myserver.key

# 查看CSR信息
> openssl req -noout -text -in myserver.csr

# 查看证书信息
> openssl x509 -noout -text -in ca.crt

# 验证证书
# 会提示self signed
> openssl verify selfsign.crt

# 因为myserver.crt 是幅ca.crt发布的,所以会验证成功
> openssl verify -CAfile ca.crt myserver.crt
复制代码

去掉key的密码保护

有时候每次都要输入密码太繁琐了,可以把Key的保护密码去掉

> openssl rsa -in myserver.key -out server.key.insecure

不同格式证书的转换

一般证书有三种格式:

  • PEM(.pem) 前面命令生成的都是这种格式,
  • DER(.cer .der) Windows 上常见
  • PKCS#12文件(.pfx .p12) Mac上常见
复制代码
# PEM转换为DER
> openssl x509 -outform der -in myserver.crt -out myserver.der

# DER转换为PEM
> openssl x509 -inform der -in myserver.cer -out myserver.pem

# PEM转换为PKCS
> openssl pkcs12 -export -out myserver.pfx -inkey myserver.key -in myserver.crt -certfile ca.crt

# PKCS转换为PEM
> openssl pkcs12 -in myserver.pfx -out myserver2.pem -nodes
复制代码

测试证书

Openssl提供了简单的client和server工具,可以用来模拟SSL连接,做测试使用。

复制代码
# 连接到远程服务器
> openssl s_client -connect www.google.com.hk:443

# 模拟的HTTPS服务,可以返回Openssl相关信息 
# -accept 用来指定监听的端口号 
# -cert -key 用来指定提供服务的key和证书
> openssl s_server -accept 443 -cert myserver.crt -key myserver.key -www

# 可以将key和证书写到同一个文件中
> cat myserver.crt myserver.key > myserver.pem
# 使用的时候只提供一个参数就可以了
> openssl s_server -accept 443 -cert myserver.pem -www

# 可以将服务器的证书保存下来
> openssl s_client -connect www.google.com.hk:443 </dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > remoteserver.pem
# 转换成DER文件,就可以在Windows下直接查看了
> openssl x509 -outform der -in remoteserver.pem -out remoteserver.cer
复制代码

计算MD5和SHA1

# MD5 digest
> openssl dgst -md5 filename

# SHA1 digest
> openssl dgst -sha1 filename

reference:
http://www.cnblogs.com/E7868A/archive/2012/11/16/2772240.html
分享到:
评论

相关推荐

    openssl,ssl工具

    OpenSSL 是一个强大的安全套接字层密码库,包含各种主要的密码算法、常用的密钥和证书封装管理功能以及 SSL 协议,并提供丰富的应用程序供测试或其他目的使用。SSL(Secure Sockets Layer)是网络通信中的一种安全...

    openssl实现ssl握手调试工具

    通过学习和实践这些OpenSSL命令,不仅可以理解和调试SSL握手过程,还能为实际的Web服务器配置SSL提供基础。了解SSL的运作方式对于任何从事网络安全、服务器管理或开发涉及数据安全的应用程序的IT专业人员都至关重要...

    openssl(ssl telnet 工具)

    OpenSSL 是一个强大的安全套接字层密码库,包含了各种主要的密码算法、常用的密钥和证书封装管理功能以及 SSL 协议,并提供丰富的应用程序用于测试或其他目的。在IT领域,OpenSSL 是一个不可或缺的工具,尤其在网络...

    openssl生成证书

    在IT领域,OpenSSL是一个强大的安全套接字层密码库,包含各种主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供丰富的应用程序用于测试或其他目的。生成证书是网络安全中的一项关键任务,主要用于...

    openssl之enc命令教程

    OpenSSL是一个强大的工具库,它支持多种加密算法、消息认证码协议以及SSL/TLS等安全通信协议。`openssl enc`命令是OpenSSL工具的一部分,用于实现对称加密算法的数据加密和解密操作。本文将详细介绍`openssl enc`...

    openssl,ssl证书,制作CSR文件

    OpenSSL是一个强大的安全套接字层密码库,包含各种主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供丰富的应用程序用于测试或其他目的。它是开发人员和系统管理员处理加密通信和证书管理的重要工具...

    ssl汇总ssl tomcat openssl

    OpenSSL则是一个强大的安全套接字层密码库,包含了各种主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供对TLS(Transport Layer Security)协议的支持。 在将SSL整合到Tomcat和OpenSSL的过程中,...

    Linux 中的 Openssl命令及实例代码

    openssl命令的格式是”openssl command command-options args”,command部分有很多种命令,这些命令需要依赖于openssl命令才能执行,所以称为伪命令(pseudo-command),每个伪命令都有各自的功能,大部分command都...

    openssl常用命令

    ### OpenSSL常用命令详解 OpenSSL是一款强大的工具套件,...以上介绍了OpenSSL中一些常用的命令及其应用场景,这些命令对于管理和维护SSL/TLS证书非常重要。掌握这些命令可以帮助您更好地进行网络安全管理和开发工作。

    openssl windows版 带库和命令行工具

    OpenSSL 是一个强大的安全套接字层密码库,包含各种主要的密码算法、常用的密钥和证书封装管理功能以及 SSL 协议,并提供丰富的应用程序供测试或其他目的使用。在 Windows 平台上,OpenSSL 提供了预编译的库文件和...

    OpenSSL命令解释

    了解并熟练掌握OpenSSL命令,不仅可以帮助开发者和系统管理员更好地理解和维护网络安全,还可以为他们提供构建安全应用和系统的强大工具。无论是生成证书、调试加密连接还是进行加密操作,OpenSSL都是一个不可或缺的...

    openssl命令中文版[定义].pdf

    在OpenSSL命令中,`openssl verify`是一个非常重要的工具,它用于验证证书的完整性和真实性。这个命令可以检查证书链,确保它们是由可信的证书颁发机构(CA)签署的,并且符合预期的用途。以下是`openssl verify`...

    openssl安装及命令

    一些常用的命令包括: * openssl version:显示 OpenSSL 的版本信息。 * openssl help:显示 OpenSSL 的帮助信息。 * openssl genrsa:生成 RSA 私钥。 * openssl req:生成证书请求。 * openssl x509:生成...

    安装openssl和openssl-develd 的依赖包

    2. **安装openssl**:在基于Debian的系统(如Ubuntu)中,可以使用以下命令: ```bash sudo apt-get install openssl ``` 在基于Red Hat的系统(如CentOS、Fedora)中,使用: ```bash sudo yum install ...

    openssl和openssl-devel离线rpm安装包.zip_OPENSSL 库_openssl_openssl-deve

    在IT行业中,安全通信是至关重要的,而OpenSSL是一个强大的安全套接字层密码库,包含各种主要的密码算法、常用的密钥和证书封装管理功能,以及SSL协议,并提供丰富的应用程序用于测试或其他目的。OpenSSL库是许多...

    利用openssl和curl库获取https服务端证书

    首先,openssl是一个强大的安全套接字层密码库,包含了各种主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供丰富的应用程序供测试或其他目的使用。在获取HTTPS服务端证书时,我们可以使用openssl的...

Global site tag (gtag.js) - Google Analytics