openssl命令使用可以参考 https://www.cnblogs.com/gavin11/p/14302045.html
生成自签CA证书
# 生成CA的key > openssl genrsa -des3 -out ca.key 4096
- -des3 用来加密私钥文件的三种对称加密算法(-des|-des3|-idea)。
- 4096 生成的密钥位数。必须是本指令的最后一个参数
# 生成CA的证书
> openssl req -new -x509 -days 365 -key ca.key -out ca.crt
- req命令主要创建证书请求
- -new本选项产生一个新的证书请求,它会要用户输入创建证书请求的一些必须的信息
- -days当使用-x509选项时,指定证书的有效期。默认为30天
- -key filename—— 指定从中读取私钥的文件。它也读取PEM格式的PKCS#8私钥
- -out filename——输出证书或证书请求文件名,不指定则默认标准输出
# 生成我们的key和CSR这两步与上面Self Signed中是一样的
> openssl genrsa -des3 -out myserver.key 4096
> openssl req -new -key myserver.key -out myserver.csr
# 使用ca的证书和key,生成我们的证书
# 这里的set_serial指明了证书的序号,如果证书过期了(365天后),
# 或者证书key泄漏了,需要重新发证的时候,就要加1
> openssl x509 -req -days 365 -in myserver.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out myserver.crt
- -req——默认-in输入证书。使用此选项表示输入的是证书请求。
- -CA filename——指定要用于签名的CA证书。当此选项存在时,x509的行为就像“迷你CA”。该CA使用此选项对输入文件进行签名:将其颁发者名称设置为CA的主题名称,并使用CAs私钥进行数字签名。此选项通常与-req选项组合。没有-req选项,输入是必须是自签名的证书。
- -CAkey filename——设置CA私钥以签署证书。如果未指定此选项,则假定CA私钥存在于CA证书文件中。
- -set_serial n—— 输出自签名证书时使用的序列号。如果前缀为0x,则可以将其指定为十进制值或十六进制值。可以使用负序列号,但不建议这样
生成self Signed证书
# 生成一个key,你的私钥,openssl会提示你输入一个密码,可以输入,也可以不输, # 输入的话,以后每次使用这个key的时候都要输入密码,安全起见,还是应该有一个密码保护 > openssl genrsa -des3 -out selfsign.key 4096 # 使用上面生成的key,生成一个certificate signing request (CSR) # 如果你的key有密码保护,openssl首先会询问你的密码,然后询问你一系列问题, # 其中Common Name(CN)是最重要的,它代表你的证书要代表的目标,如果你为网站申请的证书,就要添你的域名。 > openssl req -new -key selfsign.key -out selfsign.csr # 生成Self Signed证书 selfsign.crt就是我们生成的证书了 > openssl x509 -req -days 365 -in selfsign.csr -signkey selfsign.key -out selfsign.crt # 另外一个比较简单的方法就是用下面的命令,一次生成key和证书 > openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout privateKey.key -out certificate.crt
查看证书
# 查看KEY信息 > openssl rsa -noout -text -in myserver.key # 查看CSR信息 > openssl req -noout -text -in myserver.csr # 查看证书信息 > openssl x509 -noout -text -in ca.crt # 验证证书 # 会提示self signed > openssl verify selfsign.crt # 因为myserver.crt 是幅ca.crt发布的,所以会验证成功 > openssl verify -CAfile ca.crt myserver.crt
测试证书
Openssl提供了简单的client和server工具,可以用来模拟SSL连接,做测试使用
# 连接到远程服务器 > openssl s_client -connect www.google.com.hk:443 # 模拟的HTTPS服务,可以返回Openssl相关信息 # -accept 用来指定监听的端口号 # -cert -key 用来指定提供服务的key和证书 > openssl s_server -accept 443 -cert myserver.crt -key myserver.key -www # 可以将key和证书写到同一个文件中 > cat myserver.crt myserver.key > myserver.pem # 使用的时候只提供一个参数就可以了 > openssl s_server -accept 443 -cert myserver.pem -www # 可以将服务器的证书保存下来 > openssl s_client -connect www.google.com.hk:443 </dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > remoteserver.pem # 转换成DER文件,就可以在Windows下直接查看了 > openssl x509 -outform der -in remoteserver.pem -out remoteserver.cer
tips
去掉key的密码保护
openssl rsa -in myserver.key -out server.key.insecure