一、openssl 簡介
openssl 是目前最流行的 SSL 密碼庫工具,其提供了一個通用、健壯、功能完備的工具套件,用以支援SSL/TLS 協議的實現。
官網:https://www.openssl.org/source/ 構成部分 密碼演算法庫 密鑰和認證封裝管理功能 SSL通訊API介面 用途 建立 RSA、DH、DSA key 參數 建立 X.509 憑證、認證簽章要求(CSR)和CRLs(認證回收列表) 計算訊息摘要 使用各種 Cipher加密/解密 SSL/TLS 用戶端以及伺服器的測試 處理S/MIME 或者加密郵件 二、RSA密鑰操作
預設情況下,openssl 輸出格式為 PKCS#1-PEM
產生RSA私密金鑰(無加密)
openssl genrsa -out rsa_private.key 2048
產生RSA公開金鑰
openssl rsa -in rsa_private.key -pubout -out rsa_public.key
產生RSA私密金鑰(使用aes256加密)
openssl genrsa -aes256 -passout pass:111111 -out rsa_aes_private.key 2048
其中 passout 代替shell 進行密碼輸入,否則會提示輸入密碼;
產生加密後的內容如:
-----BEGIN RSA PRIVATE KEY-----Proc-Type: 4,ENCRYPTEDDEK-Info: AES-256-CBC,5584D000DDDD53DD5B12AE935F05A007Base64 Encoded Data-----END RSA PRIVATE KEY-----
此時若產生公開金鑰,需要提供密碼
openssl rsa -in rsa_aes_private.key -passin pass:111111 -pubout -out rsa_public.key
其中 passout 代替shell 進行密碼輸入,否則會提示輸入密碼; 轉換命令
私密金鑰轉非加密
openssl rsa -in rsa_aes_private.key -passin pass:111111 -out rsa_private.key
私密金鑰轉加密
openssl rsa -in rsa_private.key -aes256 -passout pass:111111 -out rsa_aes_private.key
私密金鑰PEM轉DER
openssl rsa -in rsa_private.key -outform der-out rsa_aes_private.der
-inform和-outform 參數制定輸入輸出格式,由der轉pem格式同理
查看私密金鑰明細
openssl rsa -in rsa_private.key -noout -text
使用-pubin參數可查看公開金鑰明細
私密金鑰PKCS#1轉PKCS#8
openssl pkcs8 -topk8 -in rsa_private.key -passout pass:111111 -out pkcs8_private.key
其中-passout指定了密碼,輸出的pkcs8格式密鑰為加密形式,pkcs8預設採用des3 密碼編譯演算法,內容如下:
-----BEGIN ENCRYPTED PRIVATE KEY-----Base64 Encoded Data-----END ENCRYPTED PRIVATE KEY-----
使用-nocrypt參數可以輸出無加密的pkcs8密鑰,如下:
-----BEGIN PRIVATE KEY-----Base64 Encoded Data-----END PRIVATE KEY-----三、產生自我簽署憑證
產生 RSA 私密金鑰和自我簽署憑證
openssl req -newkey rsa:2048 -nodes -keyout rsa_private.key -x509 -days 365 -out cert.crt
req是認證請求的子命令,-newkey rsa:2048 -keyout private_key.pem 表示產生私密金鑰(PKCS8格式),-nodes 表示私密金鑰不加密,若不帶參數將提示輸入密碼;
-x509表示輸出認證,-days365 為有效期間,此後根據提示輸入認證擁有者資訊;
若執行自動輸入,可使用-subj選項:
openssl req -newkey rsa:2048 -nodes -keyout rsa_private.key -x509 -days 365 -out cert.crt -subj "/C=CN/ST=GD/L=SZ/O=vihoo/OU=dev/CN=vivo.com/emailAddress=yy@vivo.com"
使用 已有RSA 私密金鑰產生自我簽署憑證
openssl req -new -x509 -days 365 -key rsa_private.key -out cert.crt
-new 指產生認證請求,加上-x509 表示直接輸出認證,-key 指定私密金鑰檔案,其餘選項與上述命令相同 四、產生簽章要求及CA 簽名
使用 RSA私密金鑰產生 CSR 簽章要求
openssl genrsa -aes256 -passout pass:111111 -out server.key 2048openssl req -new -key server.key -out server.csr
此後輸入密碼、server認證資訊完成,也可以命令列指定各類參數
openssl req -new -key server.key -passin pass:111111 -out server.csr -subj "/C=CN/ST=GD/L=SZ/O=vihoo/OU=dev/CN=vivo.com/emailAddress=yy@vivo.com"
*** 此時產生的 csr簽章要求檔案可提交至 CA進行簽發 ***
查看CSR 的細節
cat server.csr-----BEGIN CERTIFICATE REQUEST-----Base64EncodedData-----END CERTIFICATE REQUEST-----openssl req -noout -text -in server.csr
使用 CA 憑證及CA密鑰 對請求籤發認證進行簽發,產生 x509認證
openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey ca.key -passin pass:111111 -CAcreateserial -out server.crt
其中 CAxxx 選項用於指定CA 參數輸入 五、認證查看及轉換
查看認證細節
openssl x509 -in cert.crt -noout -text
轉換認證編碼格式
openssl x509 -in cert.cer -inform DER -outform PEM -out cert.pem
合成 pkcs#12 認證(含私密金鑰)
** 將 pem 認證和私密金鑰轉 pkcs#12 認證 **
openssl pkcs12 -export -in server.crt -inkey server.key -passin pass:111111 -password pass:111111 -out server.p12
其中-export指匯出pkcs#12 認證,-inkey 指定了私密金鑰檔案,-passin 為私密金鑰(檔案)密碼(nodes為無加密),-password 指定 p12檔案的密碼(匯入匯出)
** 將 pem 認證和私密金鑰/CA 憑證 合成pkcs#12 認證**
openssl pkcs12 -export -in server.crt -inkey server.key -passin pass:111111 \ -chain -CAfile ca.crt -password pass:111111 -out server-all.p12
其中-chain指示同時添加憑證鏈結,-CAfile 指定了CA認證,匯出的p12檔案將包含多個認證。(其他選項:-name可用於指定server認證別名;-caname用於指定ca認證別名)
** pcks#12 提取PEM檔案(含私密金鑰) **
openssl pkcs12 -in server.p12 -password pass:111111 -passout pass:111111 -out out/server.pem
其中-password 指定 p12檔案的密碼(匯入匯出),-passout指輸出私密金鑰的加密密碼(nodes為無加密)
匯出的檔案為pem格式,同時包含認證和私密金鑰(pkcs#8):
Bag Attributes localKeyID: 97 DD 46 3D 1E 91 EF 01 3B 2E 4A 75 81 4F 11 A6 E7 1F 79 40 subject=/C=CN/ST=GD/L=SZ/O=vihoo/OU=dev/CN=vihoo.com/emailAddress=yy@vihoo.comissuer=/C=CN/ST=GD/L=SZ/O=viroot/OU=dev/CN=viroot.com/emailAddress=yy@viroot.com-----BEGIN CERTIFICATE-----MIIDazCCAlMCCQCIOlA9/dcfEjANBgkqhkiG9w0BAQUFADB5MQswCQYDVQQGEwJD1LpQCA+2B6dn4scZwaCD-----END CERTIFICATE-----Bag Attributes localKeyID: 97 DD 46 3D 1E 91 EF 01 3B 2E 4A 75 81 4F 11 A6 E7 1F 79 40 Key Attributes: <No Attributes>-----BEGIN ENCRYPTED PRIVATE KEY-----MIIEvAIBADANBgkqhkiG9w0BAQEFAASCBKYwggSiAgEAAoIBAQDC/6rAc1YaPRNfK9ZLHbyBTKVaxehjxzJHHw==-----END ENCRYPTED PRIVATE KEY-----
僅提取私密金鑰
openssl pkcs12 -in server.p12 -password pass:111111 -passout pass:111111 -nocerts -out out/key.pem
僅提取認證(所有認證)
openssl pkcs12 -in server.p12 -password pass:111111 -nokeys -out out/key.pem
僅提取ca認證
openssl pkcs12 -in server-all.p12 -password pass:111111 -nokeys -cacerts -out out/cacert.pem
僅提取server認證
openssl pkcs12 -in server-all.p12 -password pass:111111 -nokeys -clcerts -out out/cert.pem六、openssl 命令參考
1. openssl list-standard-commands(標準命令) 1) asn1parse: asn1parse用於解釋用ANS.1文法書寫的語句(ASN一般用於定義文法的構成) 2) ca: ca用於CA的管理 openssl ca [options]: 2.1) -selfsign 使用對認證請求進行簽名的金鑰組來簽發認證。即"自簽名",這種情況發生在產生認證的用戶端、簽發認證的CA都是同一台機器(也是我們大多數實驗中的情況),我們可以使用同一個金鑰組來進行"自簽名" 2.2) -in file 需要進行處理的PEM格式的認證 2.3) -out file 處理結束後輸出的認證檔案 2.4) -cert file 用於簽發的根CA認證 2.5) -days arg 指定簽發的認證的有效時間 2.6) -keyfile arg CA的私密金鑰認證檔案 2.7) -keyform arg CA的根私密金鑰認證檔案格式: 2.7.1) PEM 2.7.2) ENGINE 2.8) -key arg CA的根私密金鑰認證檔案的解密密碼(如果加密了的話) 2.9) -config file 設定檔 example1: 利用CA認證簽署請求認證 openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key 3) req: X.509認證簽發請求(CSR)管理 openssl req [options] <infile >outfile 3.1) -inform arg 輸入檔案格式 3.1.1) DER 3.1.2) PEM 3.2) -outform arg 輸出檔案格式 3.2.1) DER 3.2.2) PEM 3.3) -in arg 待處理檔案 3.4) -out arg 待輸出檔案 3.5) -passin 用於簽名待產生的請求認證的私密金鑰檔案的解密密碼 3.6) -key file 用於簽名待產生的請求認證的私密金鑰檔案 3.7) -keyform arg 3.7.1) DER 3.7.2) NET 3.7.3) PEM 3.8) -new 新的請求 3.9) -x509 輸出一個X509格式的認證 3.10) -days X509認證的有效時間 3.11) -newkey rsa:bits 產生一個bits長度的RSA私密金鑰檔案,用於簽發 3.12) -[digest] HASH演算法 3.12.1) md5 3.12.2) sha1 3.12.3) md2 3.12.4) mdc2 3.12.5) md4 3.13) -config file 指定openssl設定檔 3.14) -text: text顯示格式 example1: 利用CA的RSA密鑰建立一個自簽署的CA認證(X.509結構) openssl req -new -x509 -days 3650 -key server.key -out ca.crt example2: 用server.key產生認證簽署請求CSR(這個CSR用於之外發送待CA中心等待簽發) openssl req -new -key server.key -out server.csr example3: 查看CSR的細節 openssl req -noout -text -in server.csr 4) genrsa: 產生RSA參數 openssl genrsa [args] [numbits] [args] 4.1) 對產生的私密金鑰檔案是否要使用密碼編譯演算法進行對稱式加密: 4.1.1) -des: CBC模式的DES加密 4.1.2) -des3: CBC模式的DES加密 4.1.3) -aes128: CBC模式的AES128加密 4.1.4) -aes192: CBC模式的AES192加密 4.1.5) -aes256: CBC模式的AES256加密 4.2) -passout arg: arg為對稱式加密(des、des、aes)的密碼(使用這個參數就省去了console互動提示輸入密碼的環節) 4.3) -out file: 輸出認證私密金鑰檔案 [numbits]: 密鑰長度 example: 產生一個1024位的RSA私密金鑰,並用DES加密(密碼為1111),儲存為server.key檔案 openssl genrsa -out server.key -passout pass:1111 -des3 1024 5) rsa: RSA資料管理 openssl rsa [options] <infile >outfile 5.1) -inform arg 輸入密鑰檔案格式: 5.1.1) DER(ASN1) 5.1.2) NET 5.1.3) PEM(base64編碼格式) 5.2) -outform arg 輸出密鑰檔案格式 5.2.1) DER 5.2.2) NET 5.2.3) PEM 5.3) -in arg 待處理密鑰檔案 5.4) -passin arg 輸入這個加密金鑰檔案的解密密鑰(如果在產生這個密鑰檔案的時候,選擇了密碼編譯演算法了的話) 5.5) -out arg 待輸出密鑰檔案 5.6) -passout arg 如果希望輸出的密鑰檔案繼續使用密碼編譯演算法的話則指定密碼 5.7) -des: CBC模式的DES加密 5.8) -des3: CBC模式的DES加密 5.9) -aes128: CBC模式的AES128加密 5.10) -aes192: CBC模式的AES192加密 5.11) -aes256: CBC模式的AES256加密 5.12) -text: 以text形式列印密鑰key資料 5.13) -noout: 不列印密鑰key資料 5.14) -pubin: 檢查待處理檔案是否為公開金鑰檔案 5.15) -pubout: 輸出公開金鑰檔案 example1: 對私密金鑰檔案進行解密 openssl rsa -in server.key -passin pass:111 -out server_nopass.key example:2: 利用私密金鑰檔案產生對應的公開金鑰檔案 openssl rsa -in server.key -passin pass:111 -pubout -out server_public.key 6) x509: 本指令是一個功能很豐富的認證處理工具。可以用來顯示認證的內容,轉換其格式,給CSR簽名等X.509認證的管理工作 openssl x509 [args] 6.1) -inform arg 待處理X509認證檔案格式 6.1.1) DER 6.1.2) NET 6.1.3) PEM 6.2) -outform arg 待輸出X509認證檔案格式 6.2.1) DER 6.2.2) NET 6.2.3) PEM 6.3) -in arg 待處理X509認證檔案 6.4) -out arg 待輸出X509認證檔案 6.5) -req 表明輸入檔案是一個"請求籤發認證檔案(CSR)",等待進行簽發 6.6) -days arg 表明將要簽發的認證的有效時間 6.7) -CA arg 指定用於簽發請求認證的根CA認證 6.8) -CAform arg 根CA認證格式(預設是PEM) 6.9) -CAkey arg 指定用於簽發請求認證的CA私密金鑰認證檔案,如果這個option沒有參數輸入,那麼預設認為私人密鑰在CA認證檔案裡有 6.10) -CAkeyform arg 指定根CA私密金鑰認證檔案格式(預設為PEM格式) 6.11) -CAserial arg 指定序號檔案(serial number file) 6.12) -CAcreateserial 如果序號檔案(serial number file)沒有指定,則自動建立它 example1: 轉換DER認證為PEM格式 openssl x509 -in cert.cer -inform DER -outform PEM -out cert.pem example2: 使用根CA認證對"請求籤發認證"進行簽發,產生x509格式認證 openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt example3: 列印出認證的內容 openssl x509 -in server.crt -noout -text 7) crl: crl是用於管理CRL列表 openssl crl [args] 7.1) -inform arg 輸入檔案的格式 7.1.1) DER(DER編碼的CRL對象) 7.1.2) PEM(預設的格式)(base64編碼的CRL對象) 7.2) -outform arg 指定檔案的輸出格式 7.2.1) DER(DER編碼的CRL對象) 7.2.2) PEM(預設的格式)(base64編碼的CRL對象) 7.3) -text: 以文字格式設定來列印CRL資訊值。 7.4) -in filename 指定的輸入檔案名稱。預設為標準輸入。 7.5) -out filename 指定的輸出檔案名。預設為標準輸出。 7.6) -hash 輸出頒發者資訊值的雜湊值。這一項可用於在檔案中根據頒發者資訊值的雜湊值來查詢CRL對象。 7.7) -
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
