生成Self Signed证书

# 生成一个key,你的私钥,openssl会提示你输入一个密码,可以输入,也可以不输,
# 输入的话,以后每次使用这个key的时候都要输入密码,安全起见,还是应该有一个密码保护

> openssl genrsa -des3 -out selfsign.key 4096

# 使用上面生成的key,生成一个certificate signing request (CSR)

# 如果你的key有密码保护,openssl首先会询问你的密码,然后询问你一系列问题,

# 其中Common Name(CN)是最重要的,它代表你的证书要代表的目标,如果你为网站申请的证书,就要添你的域名。

> openssl req -new -key selfsign.key -out selfsign.csr

# 生成Self Signed证书 selfsign.crt就是我们生成的证书了

> openssl x509 -req -days 365 -in selfsign.csr -signkey selfsign.key -out selfsign.crt

# 另外一个比较简单的方法就是用下面的命令,一次生成key和证书

> openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout privateKey.key -out certificate.crt

生成自己的CA (Certificate Authority)

# 生成CA的key

> openssl genrsa -des3 -out ca.key 4096

# 生成CA的证书

> openssl req -new -x509 -days 365 -key ca.key -out ca.crt

# 生成我们的key和CSR这两步与上面Self Signed中是一样的

> openssl genrsa -des3 -out myserver.key 4096

> openssl req -new -key myserver.key -out myserver.csr

# 使用ca的证书和key,生成我们的证书

# 这里的set_serial指明了证书的序号,如果证书过期了(365天后),

# 或者证书key泄漏了,需要重新发证的时候,就要加1

> openssl x509 -req -days 365 -in myserver.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out myserver.crt

查看证书

# 查看KEY信息

> openssl rsa -noout -text -in myserver.key

# 查看CSR信息

> openssl req -noout -text -in myserver.csr

# 查看证书信息

> openssl x509 -noout -text -in ca.crt

# 验证证书

# 会提示self signed

> openssl verify selfsign.crt

# 因为myserver.crt 是幅ca.crt发布的,所以会验证成功

> openssl verify -CAfile ca.crt myserver.crt

去掉key的密码保护

有时候每次都要输入密码太繁琐了,可以把Key的保护密码去掉

> openssl rsa -in myserver.key -out server.key.insecure

不同格式证书的转换

# PKCS转换为PEM

> openssl pkcs12 -in myserver.pfx -out myserver.pem -nodes


# PEM转换为DER

> openssl x509 -outform der -in myserver.pem -out myserver.[der|crt]




# PEM提取KEY


> openssl RSA -in myserver.pem -out myserver.key

# DER转换为PEM

> openssl x509 -inform der -in myserver.[cer|crt] -out myserver.pem

# PEM转换为PKCS

> openssl pkcs12 -export -out myserver.pfx -inkey myserver.key -in myserver.pem -certfile ca.crt





测试证书


Openssl提供了简单的client和server工具,可以用来模拟SSL连接,做测试使用。




# 连接到远程服务器

> openssl s_client -connect www.google.com.hk:443

# 模拟的HTTPS服务,可以返回Openssl相关信息

# -accept 用来指定监听的端口号

# -cert -key 用来指定提供服务的key和证书

> openssl s_server -accept 443 -cert myserver.crt -key myserver.key -www

# 可以将key和证书写到同一个文件中

> cat myserver.crt myserver.key > myserver.pem

# 使用的时候只提供一个参数就可以了

> openssl s_server -accept 443 -cert myserver.pem -www

# 可以将服务器的证书保存下来

> openssl s_client -connect www.google.com.hk:443 </dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > remoteserver.pem

# 转换成DER文件,就可以在Windows下直接查看了

> openssl x509 -outform der -in remoteserver.pem -out remoteserver.cer




计算MD5和SHA1




# MD5 digest

> openssl dgst -md5 filename

# SHA1 digest

> openssl dgst -sha1 filename


												


											
openssl 证书操作命令的更多相关文章
	

    
								
  1. iOS push全方位解析(二)【译文】"——生成OpenSSL证书,Provisioning Profile
		
    这是一篇来自raywenderlich的教程,内容翔实!结构简单透彻.讲解循序渐进.文章质量上乘!是一篇难的的博文!使用半瓶的英语水平翻译了一下: 1.[iOS push全方位解析](一) push的 ...
    
		
    2. 
						
  2. openssl证书制作详细教程
		
    自签名证书及验证 模拟证书涉及的角色 创建证书目录 mkdir ~/certs cd ~/certs 认证机构.网站.浏览器/用户 mkdir root web user 机构自签名证书生成和发布 生 ...
    
		
    3. 
						
  3. openssl 证书请求和自签名命令req详解
		
    1.密钥.证书请求.证书概要说明 在证书申请签发过程中,客户端涉及到密钥.证书请求.证书这几个概念,初学者可能会搞不清楚三者的关系,网上有的根据后缀名来区分三者,更让人一头雾水.我们以申请证书的流程说 ...
    
		
    4. 
						
  4. openssl证书及配置
		
    我的环境是:Linux+Apache+MySQL+PHP 1.下载openssl 及相关依赖 #yum install -y openssl 2.进入目录 /etc/pki/tls/certs #cd ...
    
		
    5. 
						
  5. OpenSSL证书生成及Mac上Apache服务器配置HTTPS(也适用centos)
		
    自签名证书 配置Apache服务器SSL 自己作为CA签发证书 这里是OpenSSL和HTTPS的介绍OpenSSLHTTPS 开启HTTPS配置前提是已在Mac上搭建Apache服务器→Mac上Ap ...
    
		
    6. 
						
  6. nginx配置openssl证书
		
    引用出处: https://blog.csdn.net/liuchunming033/article/details/48470575 证书生成基本步骤: 生成私钥(.key)-->生成证书请求 ...
    
		
    7. 
						
  7. openssl 证书请求和签名命令req基本分析
		
    一 基本概念: OpenSSL 是一个开源项目,其组成主要包括一下三个组件: openssl:多用途的命令行工具 libcrypto:加密算法库 libssl:加密模块应用库,实现了ssl及tls o ...
    
		
    8. 
						
  8. 使用OpenSSL证书操作详解
		
    一.OpenSSL简介 OpenSSL支持多种秘钥算法,包括RSA.DSA.ECDSA,RSA使用比较普遍.官网地址:https://www.openssl.org/,一般CeontOS系统都装有Op ...
    
		
    9. 
						
  9. 在Linux下如何根据域名自签发OpenSSL证书与常用证书转换
		
    在Linux下如何根据域名自签发各种SSL证书,这里我们以Apache.Tomcat.Nginx为例. openssl自签发泛域名(通配符)证书 首先要有openssl工具,如果没有那么使用如下命令安 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. 【BZOJ1034】[ZJOI2008]泡泡堂BNB 贪心
			
    Description 第XXXX届NOI期间,为了加强各省选手之间的交流,组委会决定组织一场省际电子竞技大赛,每一个省的代表队由n名选手组成,比赛的项目是老少咸宜的网络游戏泡泡堂.每一场比赛前,对阵 ...
    
			
    2. 
						
  2. implicit和explicit的基本使用
			
    class MyAge { public int Age { get; set; } public static implicit operator MyAge(int age) { return n ...
    
			
    3. 
						
  3. js动态创建的元素绑定事件
			
    新创建的元素用传统的办法无法绑定,需要用live方法. 例: $('.rule').live('mouseover', function () { $(this).addClass("can ...
    
			
    4. 
						
  4. BZOJ4513: [Sdoi2016]储能表
			
    Description 有一个 n 行 m 列的表格,行从 0 到 n−1 编号,列从 0 到 m−1 编号.每个格子都储存着能量.最初,第 i 行第 j 列的格子储存着 (i xor j) 点能量. ...
    
			
    5. 
						
  5. [iOS-UI]点击清空按钮,却会有提交的感觉
			
    一,问题分析 1.感觉像是点击清空按钮时调用了添加按钮的事件. 2.插入断电后,还真是这样. 3.仔细想想,才发现,原来是我复制了添加按钮,变成为添加按钮,进而点击清空时,不仅清空了所有内容,还把最新 ...
    
			
    6. 
						
  6. List<string>中的泛型委托
			
    我们先看List<T>.Sort().其定义是:public void Sort( Comparison<T> comparison ) 其要求传入的参数是Comparison ...
    
			
    7. 
						
  7. error while loading shared libraries: libXXX.so.x: cannot open shared object file: No such file or directory .
			
    转载:http://www.eefocus.com/pengwr/blog/2012-02/235057_baf52.html 此时你可以locate libXXX.so.x 一下,查看系统里是否有该 ...
    
			
    8. 
						
  8. 安装配置redis
			
    1.1查看当前系统环境 查看当前系统版本信息: 查看当前网络连通情况: 1.2使用yum安装 1.3确认redis的安装目录 1.4查看\修改配置文件 1.5启动redis服务并验证 1.6使用tel ...
    
			
    9. 
						
  9. Spring的特点
			
    创始人:Rod Johson1.特点: a:方便解耦和,简化开发,提升性能 b:AOP面向切面的编程 c:声明式事务支持 d:方便程序的调式 e:方便集成各大优秀的框架 f:java源代码学习的典范  ...
    
			
    10. 
						
  10. Python 脚本 监控数据库状态
			
    打算用这个脚本通过zabbix 监控Mariadb的,无奈要等Mariadb完全上线才行,所以先写一个粗略大致功能的版本. #coding:utf-8 #author:shiyiwen #versio ...
    
			
    11.