openssl命令学习
文章目录
openssl命令分为三类(openssl help):Standard commands(标准命令),Message Digest commands(消息摘要命令),Cipher commands(密码命令)。
常用标准命令
ca
用于CA的管理.
1
|
openssl ca [options] |
1) -selfsign 使用对证书请求进行签名的密钥对来签发证书。即”自签名”,这种情况发生在生成证书的客户端、签发证书的CA都是同一台机器(也是我们大多数实验中的情况),我们可以使用同一个密钥对来进行”自签名”
2) -in file 需要进行处理的PEM格式的证书 3) -out file 处理结束后输出的证书文件 4) -cert file 用于签发的根CA证书 5) -days arg 指定签发的证书的有效时间 6) -keyfile arg
CA的私钥证书文件 7) -keyform arg CA的根私钥证书文件格式: 2.7.1) PEM 2.7.2) ENGINE 8) -key arg
CA的根私钥证书文件的解密密码(如果加密了的话) 9) -config file
配置文件
命令示例:利用CA证书签署请求证书
1
|
openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key |
req
证书签发请求(CSR)管理
1
|
openssl req [options] outfile |
1) -inform arg 输入文件格式 1.1) DER 1.2) PEM 2) -outform arg
输出文件格式 2.1) DER 2.2) PEM 3) -in arg 待处理文件 4) -out arg 待输出文件 5) -passin
用于签名待生成的请求证书的私钥文件的解密密码 6) -key file 用于签名待生成的请求证书的私钥文件 7) -keyform arg
7.1) DER 7.2) NET 7.3) PEM 8) -new 新的请求 9) -x509
输出一个X509格式的证书 10) -days X509证书的有效时间
11) -newkey rsa:bits 生成一个bits长度的RSA私钥文件,用于签发
12) -[digest] HASH算法 12.1) md5 12.2) sha1 12.3) md2 12.4) mdc2 12.5) md4 13) -config file
指定openssl配置文件14) -text: text显示格式
命令示例:
利用CA的RSA密钥创建一个自签署的CA证书(X.509结构)
1openssl req -new -x509 -days 3650 -key ca.key -out ca.crt
用server.key生成证书签署请求CSR(这个CSR用于发送给CA中心等待签发)
1openssl req -new -key server.key -out server.csr
查看CSR的细节
1openssl req -noout -text -in server.csr
genrsa
生成RSA参数
1
|
openssl genrsa [args] [numbits] |
1) 对生成的私钥文件是否要使用加密算法进行对称加密: 1.1) -des: CBC模式的DES加密 1.2) -des3: CBC模式的3DES加密 1.3) -aes128: CBC模式的AES128加密 1.4) -aes192: CBC模式的AES192加密 1.5) -aes256: CBC模式的AES256加密 2) -passout arg: arg为对称加密(des、3des、aes)的密码(使用这个参数就省去了console交互提示输入密码的环节) 3) -out file: 输出证书私钥文件
4) numbest: 密钥长度
命令示例:
生成一个1024位的RSA私钥,并用3DES加密(密码为123456),保存为server.key文件
1openssl genrsa -out server.key -passout pass:123456 -des3 1024
rsa
rsa数据管理
1
|
openssl rsa [options] outfile |
1) -inform arg 输入密钥文件格式: 1.1) DER(ASN1) 1.2) NET 1.3) PEM(base64编码格式) 2) -outform arg 输出密钥文件格式 2.1) DER 2.2) NET 2.3) PEM 3) -in arg 待处理密钥文件 4) -passin arg 输入这个加密密钥文件的解密密钥(如果在生成这个密钥文件的时候,选择了加密算法了的话) 5) -out arg 待输出密钥文件 6) -passout arg
如果希望输出的密钥文件继续使用加密算法的话则指定密码 7) -des: CBC模式的DES加密 8) -des3: CBC模式的3DES加密 9) -aes128: CBC模式的AES128加密 10) -aes192: CBC模式的AES192加密 11) -aes256: CBC模式的AES256加密 12) -text: 以text形式打印密钥key数据 13) -noout: 不打印密钥key数据 14) -pubin: 检查待处理文件是否为公钥文件15) -pubout: 输出公钥文件
命令示例:
对私钥文件进行解密
1openssl rsa -in server.key -passin pass:123456 -out server_nopass.key
利用私钥文件生成对应的公钥文件
1openssl rsa -in server.key [-passin pass:123456] -pubout -out server_public.key
x509
证书处理工具,可以用来显示证书的内容、转换其格式、给CSR签名、X.509证书的管理等工作 。
1
|
openssl x509 [args] |
1) -inform arg 待处理X509证书文件格式 6.1.1) DER 6.1.2) NET 6.1.3) PEM 2) -outform arg
待输出X509证书文件格式 6.2.1) DER 6.2.2) NET 6.2.3) PEM 3) -in arg 待处理X509证书文件 4) -out arg
待输出X509证书文件 5) -req
表明输入文件是一个”请求签发证书文件(CSR)“,等待进行签发 6.6) -days arg
表明将要签发的证书的有效时间 6.7) -CA arg 指定用于签发请求证书的根CA证书 6.8) -CAform arg
根CA证书格式(默认是PEM) 6.9) -CAkey arg
指定用于签发请求证书的CA私钥证书文件,如果这个option没有参数输入,那么缺省认为私有密钥在CA证书文件里有 6.10) -CAkeyform arg
指定根CA私钥证书文件格式(默认为PEM格式) 6.11) -CAserial arg
指定序列号文件(serial number file) 6.12) -CAcreateserial
如果序列号文件(serial number file)没有指定,则自动创建它
命令示例:
转换DER证书为PEM格式
1openssl x509 -in cert.cer -inform DER -outform PEM -out cert.pem
使用根CA证书对”请求签发证书”进行签发,生成x509格式证书
1openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out serverx509.crt
打印出证书的内容
1openssl x509 -in server.crt -noout -text
verify
证书验签
1
|
openssl verify -CAfile cacert.pem usercert.crt |
crl
管理CRL列表
1
|
openssl crl [args] |
1) -inform arg 输入文件的格式 1.1) DER(DER编码的CRL对象) 1.2) PEM(默认的格式)(base64编码的CRL对象) 2) -outform arg 指定文件的输出格式 2.1) DER(DER编码的CRL对象) 2.2) PEM(默认的格式)(base64编码的CRL对象) 3) -text: 以文本格式来打印CRL信息值。 4) -in filename 指定的输入文件名。默认为标准输入。 5) -out filename 指定的输出文件名。默认为标准输出。 6) -hash 输出颁发者信息值的哈希值。这一项可用于在文件中根据颁发者信息值的哈希值来查询CRL对象。 7) -fingerprint 打印CRL对象的标识。 8) -issuer 输出颁发者的信息值。 9) -lastupdate 输出上一次更新的时间。 10) -nextupdate 打印出下一次更新的时间。 11) -CAfile file 指定CA文件,用来验证该CRL对象是否合法。 12) -verify
是否验证证书。
命令示例:
输出CRL文件,包括(颁发者信息HASH值、上一次更新的时间、下一次更新的时间)
1openssl crl -in crl.crl -text -issuer -hash -lastupdate –nextupdate
将PEM格式的CRL文件转换为DER格式
1openssl crl -in crl.pem -outform DER -out crl.der
消息摘要命令
用法
1
|
openssl dgst [-算法名称] [-其他选项] inputfile |
常用摘要算法
- -md4:用md4算法进行摘要。
- -md5:默认选项,用md5算法进行摘要。
- -mdc2:用mdc2算法进行摘要。
- -sha1:用sha1算法进行摘要。
- -sha224:用sha算法进行摘要。
- -sha256:用sha算法进行摘要。
- -sha384:用sha算法进行摘要。
- -sha512:用sha算法进行摘要。
- -ripemd160:用ripemd160算法进行摘要。
- -whirlpool:用whirlpool算法进行摘要。
选项
- -out file:输出到指定文件
- -c:打印出两个哈希结果的时候用冒号来分隔开。仅仅设置了[-hex]的时候有效。
- -r:用coreutils格式来输出摘要值。
- -rand file:产生随机数种子的文件(没发现产生实际效果)。
- -d:打印出BIO调试信息值。
- -hex:显示ASCII编码的十六进制摘要结果,默认选项。
- -binary:以二进制的形式来显示摘要结果值。
签名验签
1 RSA密钥签名验签
1 2 3 4 5 6 7 8 9 10 |
# 生成RSA密钥对(省略参数设置,使用默认值,模数:1024) openssl genrsa -out rsa_private.key # 由私钥导出公钥 openssl rsa -in rsa_private.key -pubout -out rsa_public.key # 用RSA私钥对SHA1计算得到的摘要值签名 openssl dgst -sign rsa_private.key -sha1 -out sha1_rsa_file.sign file.txt # 验签 1)用相应的公钥和相同的摘要算法进行验签 openssl dgst -verify rsa_public.key -sha1 -signature sha1_rsa_file.sign file.txt # 验签 2)使用相同的私钥和相同的摘要算法进行验证 openssl dgst -prverify rsa_private.key -sha1 -signature sha1_rsa_file.sign file.txt |
2 DSA密钥对签名验签
1 2 3 4 5 6 7 8 9 10 11 12 |
# 生成DSA参数 openssl dsaparam -out dsa.param 1024 # 由DSA参数产生DSA私钥 openssl gendsa -out dsa_private.key dsa.param # 由DSA私钥生成DSA公钥 openssl dsa -in dsa_private.key -out dsa_public.key -pubout # 用DSA私钥对SHA384计算的摘要值进行签名 openssl dgst -sign dsa_private.key -sha384 -out sha384_dsa.sign file.txt # 验签 1)用相应的公钥和摘要算法进行验签 openssl dgst -verify dsa_public.key -sha384 -signature sha384_dsa.sign file.txt # 验签 2)用相同的私钥和摘要算法验签 openssl dgst -prverify dsa_private.key -sha384 -signature sha384_dsa.sign file.txt |
HMAC
HMAC是密钥相关的哈希运算消息认证码,HMAC运算利用哈希算法,以一个密钥和一个消息为输入,生成一个消息摘要作为输出。
1
|
openssl dgst -md5 -hmac "asfdsdfsg" file.txt |
文章作者 binbin wen
上次更新 2018-03-11