这里写目录标题
- 选项:
-
-
- **通用选项:**
- 1. genrsa:生成RSA密钥对
- 3. req:生成证书签名请求
- 4. x509:生成自签名证书
- **证书管理:**
-
- 1. verify:验证证书
- 2. x509:查看证书详情
- 3. crl:生成证书吊销列表
- **附加选项:**
-
- 1. -out:指定输出文件名
- 2. -in:指定输入文件名
- 3. -days:指定证书有效期
- **格式转换:**
-
- 1. pkcs7:将证书和私钥打包成PKCS#7格式
- 2. pkcs12:将证书和私钥打包成PKCS#12格式
- 其他选项
-
- 1. enc选项:
- 2. s_client选项:
- 3. s_server选项:
- 4. cms选项:
- 5. speed选项:
- 6. s_time选项:
-
- 使用案例:
openssl是一个开源的加密工具,可以用来生成证书、加密、解密等操作。以下列出了一些常用选项及使用案例:
选项:
通用选项:
1. genrsa:生成RSA密钥对
openssl genrsa -out private.key 2048
#生成一个2048位的RSA私钥,并将私钥保存为private.key。
3. req:生成证书签名请求
openssl req -new -key private.key -out request.csr
#使用私钥文件private.key生成一个新的证书签名请求,并将请求保存为request.csr文件。
4. x509:生成自签名证书
openssl req -x509 -key private.key -in request.csr -out certificate.crt -days 365
#使用私钥文件private.key和证书签名请求文件request.csr生成一个自签名的X.509证书,并将证书保存为certificate.crt文件,证书的有效期为365天。
证书管理:
1. verify:验证证书
openssl verify certificate.crt
#验证证书的有效性。通过输入证书文件的路径,openssl会检查证书是否能够通过验证。如果证书有效,会输出"certificate.crt: OK";如果证书无效或者无法验证,会输出相应的错误信息。
2. x509:查看证书详情
openssl x509 -in certificate.crt -text
#查看证书的详细信息。通过输入证书文件的路径和参数"-text",openssl会显示证书的公钥、颁发者、有效期、数字签名等详细信息。
3. crl:生成证书吊销列表
openssl ca -revoke revoked.crt -crl_reason keyCompromise -crl_reason superseded
生成证书吊销列表。通过输入被吊销的证书文件的路径和
#吊销原因,openssl会生成一个包含吊销证书信息的CRL文件。
#在生成CRL时可以指定吊销证书的原因,比如keyCompromise(密钥被泄露)或者superseded(证书被替换)。生成CRL后可以通过将其分发给相关方,以便他们在使用证书时检查证书的有效性
附加选项:
1. -out:指定输出文件名
2. -in:指定输入文件名
3. -days:指定证书有效期
格式转换:
1. pkcs7:将证书和私钥打包成PKCS#7格式
openssl crl2pkcs7 -nocrl -certfile certificate.crt -certfile ca.crt -out pkcs7.p7b
openssl crl2pkcs7: 这个命令将用于将证书和私钥打包成PKCS#7格式。-nocrl: 这个选项表示不包含证书注销列表(CRL)。-certfile certificate.crt -certfile ca.crt: 这里指定了要包含在PKCS#7文件中的证书文件,certificate.crt代表证书文件,ca.crt代表CA证书文件。-out pkcs7.p7b: 这个选项表示输出的文件名为pkcs7.p7b。
2. pkcs12:将证书和私钥打包成PKCS#12格式
openssl pkcs12 -export -in certificate.crt -inkey private.key -out pkcs12.p12
openssl pkcs12: 这个命令将用于将证书和私钥打包成PKCS#12格式。-export: 这个选项表示要执行导出操作。-in certificate.crt: 这里指定了要包含在PKCS#12文件中的证书文件,certificate.crt代表证书文件。-inkey private.key: 这里指定了要包含在PKCS#12文件中的私钥文件,private.key代表私钥文件。-out pkcs12.p12: 这个选项表示输出的文件名为pkcs12.p12。
其他选项
1. enc选项:
openssl enc [options]
- 示例:加密文件:openssl enc -aes-256-cbc -in plaintext.txt -out ciphertext.txt
2. s_client选项:
openssl s_client [options]
- 示例:连接到SSL/TLS服务器并显示证书信息:openssl s_client -connect www.example.com:443
3. s_server选项:
openssl s_server [options]
- 示例:创建一个SSL/TLS服务器:openssl s_server -key server.key -cert server.crt
4. cms选项:
openssl cms [options]
- 示例:处理CMS格式的文件:openssl cms -verify -in signed.cms -inform DER -content data.txt -binary
5. speed选项:
openssl speed [options]
- 示例:测试AES加密算法的性能:openssl speed -evp aes-256-cbc
6. s_time选项:
openssl s_time [options]
- 示例:测试SSL/TLS服务器的性能:openssl s_time -connect www.example.com:443
使用案例:
- 生成RSA密钥对:
openssl genrsa -out private.key 2048
- 生成证书签名请求:
openssl req -new -key private.key -out csr.csr
- 生成自签名证书:
openssl req -x509 -newkey rsa:2048 -keyout private.key -out certificate.crt -days 365
- 加密文件:
openssl enc -aes-256-cbc -in plaintext.txt -out encrypted.txt
- 解密文件:
openssl enc -d -aes-256-cbc -in encrypted.txt -out decrypted.txt
- 连接SSL/TLS服务器并显示相关信息:
openssl s_client -connect example.com:443
- 创建SSL/TLS服务器:
openssl s_server -cert certificate.crt -key private.key -accept 443
- 计算消息的哈希值:
openssl dgst -sha256 file.txt
- 将证书和私钥存储在PKCS#12格式的文件中:
openssl pkcs12 -export -in certificate.crt -inkey private.key -out certificate.p12
以上是一些常用的openssl命令选项和使用案例,更多选项和用法可以通过查阅openssl的官方文档来了解。