openssl使用多种方法签名、自签名
openssl系列文章:http://www.cnblogs.com/f-ck-need-u/p/7048359.html
1.采用自定义配置文件的实现方法
1.1 自建CA
自建CA的机制:1.生成私钥;2.创建证书请求;3.使用私钥对证书请求签名。
由于测试环境,所以自建的CA只能是根CA。所使用的配置文件如下。
[default]
name = root-ca /* 变量*/
default_ca = CA_default
name_opt = ca_default
cert_opt = ca_default [CA_default]
home = . /* 变量*/
database = $home/db/index
serial = $home/db/serial
crlnumber = $home/db/crlnumber
certificate = $home/$name.crt
private_key = $home/private/$name.key
RANDFILE = $home/private/random
new_certs_dir = $home/certs
unique_subject = no
copy_extensions = none
default_days =
default_crl_days =
default_md = sha256
policy = policy_to_match [policy_to_match]
countryName = match
stateOrProvinceName = optional
organizationName = match
organizationalUnitName = optional
commonName = supplied
emailAddress = optional [CA_DN]
countryName = "C"
contryName_default = "CN"
organizationName = "O"
organizationName_default = "jmu"
commonName = "CN"
commonName_default = "longshuai.com" [req]
default_bits =
encrypt_key = no
default_md = sha256
utf8 = yes
string_mask = utf8only
# prompt = no /* 测试时该选项导致出错,所以将其注释掉*/
distinguished_name = CA_DN
req_extensions = ca_ext [ca_ext]
basicConstraints = critical,CA:true
keyUsage = critical,keyCertSign,cRLSign
subjectKeyIdentifier = hash
(1).创建openssl的目录结构
(a).创建配置文件
[root@xuexi ~]# mkdir /ssl;touch /ssl/ssl.conf [root@xuexi ~]# cd /ssl [root@xuexi ssl]# vim ssl.conf
(b).创建openssl的目录结构中的目录,在上述配置文件中的目录分别为/ssl/db、/ssl/private和/ssl/certs,可以考虑将private目录的权限设置为600或者400。
[root@xuexi ssl]# mkdir /ssl/{db,private,certs} [root@xuexi ssl]# chmod -R private/
(2).CA自签名
普通的证书请求需要使用CA的私钥进行签名变成证书,既然是自签名证书那当然是使用自己的私钥来签名。可以使用伪命令req、ca、x509来自签名。
使用req伪命令创建CA
这里有两种方法:1.一步完成,即私钥、证书请求、自签名都在一个命令中完成2.分步完成,先生成私钥、再创建证书请求、再指定私钥来签名。方法2中其实生成私钥和证书申请可以合并在一步中完成,证书申请和签名也可以合并在一步中完成。
方法一:一步完成
在下面的一步命令中,使用-new由于没有指定私钥输出位置,所以自动保存在ssl.conf中default_keyfile指定的private.pem中;由于ssl.conf中的req段设置了encrypt_key=no,所以交互时不需要输入私钥的加密密码;由于使用req -x509自签名的证书有效期默认为30天,而配置文件中req段又不能配置该期限,所以只能使用-days来指定有效期限,注意这个-days选项只作用于x509签名,证书请求中如果指定了时间是无效的。
[root@xuexi ssl]# openssl req -x509 -new -out req.crt -config ssl.conf -days
[root@xuexi ssl]# ll
total
drwxr-xr-x root root Nov : certs
drwxr-xr-x root root Nov : db
drwx------ root root Nov : private
-rw-r--r-- root root Nov : private.pem /* 注意权限为644 */
-rw-r--r-- root root Nov : req.crt
-rw-r--r-- root root Nov : ssl.conf
[root@xuexi ssl]# openssl x509 -noout -dates -in req.crt
notBefore=Nov :: GMT
notAfter=Nov :: GMT
方法二:分步完成,这里把各种可能的步骤合并都演示一遍
>>创建私钥和证书请求合并而签名独自进行的方法<<
[root@xuexi ssl]# openssl req -newkey rsa: -keyout key.pem -out req1.csr -config ssl.conf -days
[root@xuexi ssl]# openssl req -x509 -in req1.csr -key key.pem -out req1.crt
[root@xuexi ssl]# openssl x509 -noout -dates -in req1.crt/* 注意签名不要配置文件 */
notBefore=Nov :: GMT
notAfter=Dec :: GMT /* 可以看到证书请求中指定-days是无效的 */
[root@xuexi ssl]# ll
total
drwxr-xr-x root root Nov : certs
drwxr-xr-x root root Nov : db
-rw-r--r-- root root Nov : key.pem
drwx------ root root Nov : private
-rw-r--r-- root root Nov : private.pem
-rw-r--r-- root root Nov : req1.crt
-rw-r--r-- root root Nov : req1.csr
-rw-r--r-- root root Nov : req.crt
-rw-r--r-- root root Nov : ssl.conf
>>独自生成私钥,而请求和签名合并的方法<<
[root@xuexi ssl]# (umask ;openssl genrsa -out key1.pem )
[root@xuexi ssl]# openssl req -x509 -new -key key1.pem -out req2.crt -config ssl.conf -days
[root@xuexi ssl]# openssl x509 -noout -dates -in req2.crt
notBefore=Nov :: GMT
notAfter=Nov :: GMT
[root@xuexi ssl]# ll
total
drwxr-xr-x root root Nov : certs
drwxr-xr-x root root Nov : db
-rw-r--r-- root root Nov : key1.pem
-rw------- root root Nov : key2.pem
drwx------ root root Nov : private
-rw-r--r-- root root Nov : private.pem
-rw-r--r-- root root Nov : req1.crt
-rw-r--r-- root root Nov : req1.csr
-rw-r--r-- root root Nov : req2.crt
-rw-r--r-- root root Nov : req.crt
-rw-r--r-- root root Nov : ssl.conf
>>完全分步进行<<
[root@xuexi ssl]# rm -rf key* req* private.pem
[root@xuexi ssl]# (umask ;openssl genrsa -out key.pem )
[root@xuexi ssl]# openssl req -new -key key.pem -out req.csr -config ssl.conf
[root@xuexi ssl]# openssl req -x509 -key key.pem -in req.csr -out req.crt -days
[root@xuexi ssl]# openssl x509 -noout -dates -in req.crt
notBefore=Nov :: GMT
notAfter=Nov :: GMT
[root@xuexi ssl]# ll
total
drwxr-xr-x root root Nov : certs
drwxr-xr-x root root Nov : db
-rw------- root root Nov : key.pem
drwx------ root root Nov : private
-rw-r--r-- root root Nov : req.crt
-rw-r--r-- root root Nov : req.csr
-rw-r--r-- root root Nov : ssl.conf
在本节的开头说明了创建证书请求时需要提供私钥,这个私钥的作用是为了提供公钥。下面是验证。
/* 提取私钥key.pem中的公钥到key.pub文件中 */
[root@xuexi ssl]# openssl rsa -in key.pem -pubout -out key.pub
/* 输出证书请求req.csr中的公钥部分 */
[root@xuexi ssl]# openssl req -noout -pubkey -in req.csr
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC+YBneLYbh+OZWpiyPqIQHOsU5
D8il6UF7hi3NgEX/6vtciSmp7GXpXUV1tDglCCTPOfCHcEzeO0Gvky21LUenDsl/
aC2lraSijpl41+rT4mKNrCyDPZw4iG44+vLHfgHb3wJhBbBk0aw51dmxUat8FHCL
hU7nx+Du637UDlwdEQIDAQAB
-----END PUBLIC KEY-----
/* 查看key.pub,可以发现和req.csr中的公钥是一样的 */
[root@xuexi ssl]# cat key.pub
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC+YBneLYbh+OZWpiyPqIQHOsU5
D8il6UF7hi3NgEX/6vtciSmp7GXpXUV1tDglCCTPOfCHcEzeO0Gvky21LUenDsl/
aC2lraSijpl41+rT4mKNrCyDPZw4iG44+vLHfgHb3wJhBbBk0aw51dmxUat8FHCL
hU7nx+Du637UDlwdEQIDAQAB
-----END PUBLIC KEY-----
虽然创建证书请求时使用的是公钥,但是却不能使用-key选项指定公钥,而是只能指定私钥,因为req -new或-newkey选项会调用openssl rsa命令来提取公钥,指定公钥该调用将执行失败。
使用x509伪命令创建CA
使用x509伪命令需要提供请求文件,因此需要先创建证书请求文件。由于x509伪命令签名时不读取配置文件,所以不需要设置配置文件,若需要某选项,只需使用x509中对应的选项来达成即可。
以下x509 -req用于自签名,需要-signkey提供签名所需私钥key.pem。
[root@xuexi ssl]# openssl req -new -keyout key.pem -out req.csr -config ssl.conf
[root@xuexi ssl]# openssl x509 -req -in req.csr -signkey key.pem -out x509.crt
使用ca伪命令创建CA
使用ca伪命令自签名会读取配置文件中的ca部分,所以配置文件中所需的目录和文件结构都需要创建好,包括目录db、private、certs,文件db/index、db/serial,并向serial中写入一个序列号。由于是自签名,可以自行指定私钥文件,因此对于签名所需CA私钥文件无需放置在private目录中。
[root@xuexi ssl]# touch db/{serial,index}
[root@xuexi ssl]# echo "" > db/serial
[root@xuexi ssl]# openssl req -new -keyout key.pem -out req.csr -config ssl.conf
[root@xuexi ssl]# openssl ca -selfsign -keyfile key.pem -in req.csr -config ssl.conf
在此签名过程中有两次询问,如下:
Certificate is to be certified until Nov :: GMT ( days)
Sign the certificate? [y/n]:y out of certificate requests certified, commit? [y/n]y
Write out database with new entries
Data Base Updated
若要无交互,则使用-batch进入批处理模式。
[root@xuexi ssl]# openssl ca -selfsign -keyfile key.pem -in req.csr -config ssl.conf -batch
1.2 为其他证书请求签名
CA为其他请求或证书签名时,需要使用到的文件有:自己的CA证书和自己的私钥文件。因此签名过程中需要提供这两个文件。
(1).使用ca伪命令为其他证书请求签名
使用ca伪命令自建根CA后,目录结构如下:
[root@xuexi ssl]# tree -R -C
.
├── certs
│ └── .pem
├── db
│ ├── index
│ ├── index.attr
│ ├── index.old
│ ├── serial
│ └── serial.old
├── key.pem
├── private
├── req.csr
└── ssl.conf
其中01.pem是根CA证书,key.pem是根CA私钥。
现在要为其他证书请求签名,首先创建其他请求吧,假设该请求文件/tmp/req.csr。
[root@xuexi ssl]# openssl req -new -keyout /tmp/key.pem -out /tmp/req.csr -config ssl.conf
使用根证书01.pem为/tmp/req.csr签名。
[root@xuexi ssl]# openssl ca -in /tmp/req.csr -keyfile key.pem -cert certs/.pem -config ssl.conf -batch
这样挺麻烦,因为每次为别人签名时都要指定-cert和-keyfile,可以将CA的证书和CA的私钥移动到配置文件中指定的路径下:
certificate = $home/$name.crt private_key = $home/private/$name.key |
[root@xuexi ssl]# mv certs/.pem root-ca.crt
[root@xuexi ssl]# mv key.pem private/root-ca.key
再使用ca签名时将可以使用默认值。
[root@xuexi ssl]# openssl ca -in /tmp/req.csr -config ssl.conf -batch
(2).使用x509伪命令为其他证书请求签名
现在根CA证书为root-ca.crt,CA的私钥为private/root-ca.key。
下面使用x509伪命令实现签名。由于x509不会读取配置文件,所以需要提供签名的序列号,使用-CAcreateserial可以在没有序列号文件时自动创建;由于x509默认-in指定的输入文件是证书文件,所以要对请求文件签名,需要使用-req来表示输入文件为请求文件。
[root@xuexi ssl]# openssl x509 -req -in /tmp/req.csr -CA root-ca.crt -CAkey private/root-ca.key -out x509.crt -CAcreateserial
2.采用默认配置文件/etc/pki/tls/openssl.cnf的实现方法
这是推荐采用的方法,因为方便管理,但使用默认配置文件,需要进行一些初始化动作。
由于完全采用/etc/pki/tls/openssl.cnf的配置,所以要建立相关文件。
自建CA的过程:
[root@xuexi tmp]# touch /etc/pki/CA/index.txt
[root@xuexi tmp]# echo "" > /etc/pki/CA/serial
[root@xuexi tmp]# openssl genrsa -out /etc/pki/CA/private/cakey.pem # 创建CA的私钥
[root@xuexi tmp]# openssl req -new -key /etc/pki/CA/private/cakey.pem -out rootCA.csr # 创建CA待自签署的证书请求文件
[root@xuexi tmp]# openssl ca -selfsign -in rootCA.csr # 自签署
[root@xuexi tmp]# cp /etc/pki/CA/newcerts/.pem /etc/pki/CA/cacert.pem # 将自签署的证书按照配置文件的配置复制到指定位置
为他人颁发证书的过程:
[root@xuexi tmp]# openssl ca -in youwant1.csr
签署成功后,证书位于/etc/pki/CA/newcert目录下,将新生成的证书文件发送给申请者即可。
openssl使用多种方法签名、自签名的更多相关文章
- JNI 方法注册与签名+BufferedReader使用readLine问题
最近了解了关于JavaJNI接口的一些关于方法注册与签名相关的知识,在此进行一下总结. 使用JNI接口时,我们首先需要把Java方法声明为native: public native void f(); ...
- 调用OpenSSL实现RSA加解密和签名操作
调用OpenSSL实现RSA加解密和签名操作 RSA公钥可以从证书和公钥文件,RSA私钥可以从私钥文件中提取.OpenSSL使用了一种BIO抽象IO机制读写所用文件,可以打开文件相关联的BIO,通过B ...
- .NET Core 使用RSA算法 加密/解密/签名/验证签名
前言 前不久移植了支付宝官方的SDK,以适用ASP.NET Core使用支付宝支付,但是最近有好几位用户反应在Linux下使用会出错,调试发现是RSA加密的错误,下面具体讲一讲. RSA在.NET C ...
- 使用mshta.exe绕过应用程序白名单(多种方法)
0x00 简介 很长一段时间以来,HTA文件一直被web攻击或在野恶意软件下载程序用作恶意程序的一部分.HTA文件在网络安全领域内广为人知,从红队和蓝队的角度来看,它是绕过应用程序白名单有价值的“ ...
- 使用regsrv32.exe绕过应用程序白名单(多种方法)
0x00 regsvr简介 regsvr32表示Microsoft注册服务.它是Windows的命令行实用工具.虽然regsvr32有时会导致问题出现,但它是Windows系统文件中的一个重要文件.该 ...
- C#程序集使用强名字(Strong Name)签名/强名称签名
强名称签名的方法: 强签名: 1. 可以将强签名的dll注册到GAC,不同的应用程序可以共享同一dll. 2. 强签名的库,或者应用程序只能引用强签名的dll,不能引用未强签名的dll,但是未强签名的 ...
- CSS导航菜单水平居中的多种方法
CSS导航菜单水平居中的多种方法 在网页设计中,水平导航菜单使用是十分广泛的,在CSS样式中,我们一般会用Float元素或是「display:inline-block」来解决.而今天主要讲解如何让未知 ...
- 用 Python 排序数据的多种方法
用 Python 排序数据的多种方法 目录 [Python HOWTOs系列]排序 Python 列表有内置就地排序的方法 list.sort(),此外还有一个内置的 sorted() 函数将一个可迭 ...
- js判断移动端是否安装某款app的多种方法
本文实例讲解了js判断移动端是否安装某款app的多种方法,分享给大家供大家参考,具体内容如下 第一种方法: 一:判断是那种设备 ? || u.indexOf(; //android终端或者uc浏览器 ...
随机推荐
- ERROR: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'type=InnoDB' at line 7
问题: 使用hibernate4.1.1,数据库使用mysql5.1.30,使用hibernate自动生成数据库表时,hibernate方言使用org.hibernate.dialect.MySQLI ...
- 5. Longest Palindromic Substring
Given a string S, find the longest palindromic substring in S. You may assume that the maximum lengt ...
- SonarQube的使用入门
SonarQube的安装.配置与使用 详情请参照原博客:http://www.cnblogs.com/qiaoyeye/p/5249786.html SonarQube是管理代码质量一个开放平台,可以 ...
- 关于import caffe出错的解决
[http://blog.csdn.net/wuzuyu365/article/details/52431062]关于在caffe下,import caffe报错的解决:conda install p ...
- 作品-系统-[原生开发]新蓝景CRM管理系统
基于ThinkPHP开发 项目网址:http://www.xljchina.com.cn:8839/Admin/Login/login.html 开发性质:原生开发 系统类型:CRM
- Linux查找含有某字符串的所有文件
转自:http://151wqooo.blog.51cto.com/2610898/1162118 如果你想在当前目录下 查找"hello,world!"字符串,可以这样: gre ...
- 爬虫之scrapy框架
解析 Scrapy解释 Scrapy是一个为了爬取网站数据,提取结构性数据而编写的应用框架. 其可以应用在数据挖掘,信息处理或存储历史数据等一系列的程序中.其最初是为了页面抓取 (更确切来说, 网络抓 ...
- ANSYS经典APDL编程
在使用ANSYS的过程中的一些经验总结: Ansys Workbench 有限元分析虽然进入UI阶段,但是语言命令仍然是其基础核心. 1.ANSYS中的一些关键概念的理解; 参数化程序设计语言(APD ...
- 使用VS2013逆向生成UML类图
引自http://blog.csdn.net/funnyfu0101/article/details/7705173 首先.打开工程,[体系结构]->[新建关系图] 生成一个类图 然后[体系结构 ...
- mac-android-虚机加速
mac下进行android编程不可避免会碰到android虚拟机问题,macbook pro启动虚机时报错: Starting emulator for AVD 'NEW' emulator: ERR ...