❶ 使用OpenSSL生成自簽名證書
OpenSSL工具提供了一系列步驟來生成自簽名證書,這對於實現加密通訊的伺服器至關重要。首先,通過運行命令生成私鑰(key.pem),這是證書的核心組成部分。接著,私鑰需要去除非密碼內容以確保安全。
生成證書簽名請求(CSR)是關鍵步驟,它基於你的私鑰和特定的證書有效期(默認為-days參數指定的天數),這將決定證書的有效期限。在Windows環境中,這些操作同樣適用。
如果你需要生成根證書,需要額外步驟。首先,創建根證書的密鑰,並通過輸入機構相關信息,生成包含根許可權的根證書。這與生成客戶端和伺服器端證書的過程有所不同。
對於客戶端,生成客戶端的私鑰後,會生成一個請求文件,請求根證書進行簽名,最終生成客戶端證書client.crt。同樣,伺服器端的證書生成流程也包含了生成伺服器端私鑰、請求文件以及由根證書簽發server.crt的過程。
通過以上步驟,你便擁有了用於伺服器加密通訊的完整證書鏈,包括自簽名的根證書、客戶端和伺服器端證書,確保了數據傳輸的安全性。
❷ OpenSSL命令速查手冊
OpenSSL是一款功能強大的命令行工具,能夠執行公鑰體系及HTTPS相關的多項任務。本手冊匯總了常用OpenSSL命令的使用方法,包括生成私鑰、生成證書簽名請求和證書格式轉換等。
序:關於證書簽名請求(CSR)
若要從證書頒發機構(CA)獲取SSL證書,首先需生成證書簽名請求(CSR)。CSR包含密鑰對中的公鑰和一些額外信息,這些信息將在簽名時嵌入到證書中。
使用openssl生成CSR時,需要輸入證書的唯一標識信息(Distinguished Name),其中重要的一項是常見名(Common Name),它應該是部署證書的主機域名全稱(FQDN)。
DN中的其他條目用於提供關於機構的額外信息。若從CA購買SSL證書,通常也需要這些額外欄位,如組織機構(Organization),以便真實展示機構詳情。
下面是CSR的示例:
也可以以非交互方式提供生成CSR所需的信息,任何需要CSR信息的OpenSSL命令都可以添加-subj選項。例如:
一、生成證書簽名請求
本部分涵蓋與生成CSR(以及私鑰)相關的OpenSSL命令。CSR可用來從CA請求SSL證書。
記住,可以互動式添加CSR信息,也可以使用-subj選項以非交互方式添加相同信息。
1.1 生成私鑰和CSR
若需使用HTTPS加固web伺服器,需向CA申請證書。生成的CSR可發送給CA以發行其簽名的SSL證書。
下面的命令創建一個2048位的私鑰(domain.key)和一個CSR(domain.csr):
需要互動式輸入CSR信息以完成整個過程。
-newkey rsa:2048選項聲明了使用RSA演算法生成2048位的私鑰。-nodes選項表示不使用密碼加密私鑰。上面隱含了-new選項,表示要生成一個CSR。
1.2 使用已有私鑰生成CSR
若已有私鑰,可直接用它向CA申請證書。
下面的命令使用一個已有的私鑰(domain.key)創建一個新的CSR(domain.csr):
-key選項用於指定已有的私鑰文件,-new選項表示我們要生成一個CSR。
1.3 使用已有的證書和私鑰生成CSR
若需要續訂已有的證書,但你和CA都沒有原始的CSR,則可以再次生成CSR。
例如,下面的命令使用已有的證書(domain.crt)和私鑰(domain.key)創建一個新的CSR:
二、生成SSL證書
若只需用SSL證書加固web伺服器,而不需要CA簽名的證書,則可以自己簽發證書。
一種常見的可簽發的類型是自簽名證書——使用自己的私鑰簽發的證書。自簽名證書可以向CA簽發的證書一樣用於加密數據,但用戶將收到提示說明該證書不被其計算機或瀏覽器信任。因此,自簽名證書只能在不需要向用戶證明身份時使用,例如非生產環境或非公開服務。
本部分涵蓋自簽名證書生成相關的OpenSSL命令。
2.1 生成自簽名證書
若需使用HTTPS加固伺服器,但不需要CA簽發的證書,則可以使用自簽名證書。
下面的命令創建一個2048位的私鑰(domain.key)和一個自簽名證書(domain.crt):
-x509選項指出我們要創建自簽名證書,-days 365選項聲明該證書的有效期為365天。在上述命令執行過程中將創建一個臨時CSR來收集與證書相關的CSR信息。
2.2 使用已有私鑰生成自簽名證書
也可以使用已有私鑰生成自簽名證書。例如,下面的命令使用已有的私鑰(domain.key)生成一個自簽名證書(domain.crt):
-new選項用於啟動CSR信息採集提示。
2.3 使用已有的私鑰和CSR生成自簽名證書
三、查看證書
證書和CSR文件都採用PEM編碼格式,並不適合人類閱讀。本部分主要介紹OpenSSL中查看PEM編碼文件的命令。
3.1 查看CSR條目
下面的命令可以查看CSR文件的明文文本並進行驗證:
3.2 查看證書條目
下面的命令可以查看證書文件的明文文本:
3.3 驗證證書是否由CA簽發
下面的命令用於驗證證書domain.crt是否由證書頒發機構(ca.crt)簽發:
四、私鑰生成與驗證
本部分介紹與私鑰生成和驗證相關的OpenSSL命令。
4.1 創建私鑰
下面的命令創建一個密碼保護的2048位私鑰domain.key:
上述命令會提示輸入密碼。
4.2 驗證私鑰
下面的命令可以驗證私鑰domain.key是否有效:
如果私鑰是加密的,命令會提示輸入密碼,驗證密碼成功則會顯示不加密的私鑰。
4.3 驗證私鑰與證書和CSR匹配
使用下面的命令驗證私鑰domain.key是否與證書domain.crt以及CSR匹配:
如果上述三個命令的輸出一致,那麼有很高的概率可以認為私鑰、證書和CSR是相關的。
4.4 加密私鑰
下面的命令將私鑰unencrypted.key加密,輸出加密後的私鑰encrypted.key:
上述命令執行時會提示設置密碼。
4.5 解密私鑰
下面的命令將加密私鑰encrypted.key解密,並輸出明文結果:
上述命令執行時會提示輸入解密密碼。
五、證書格式轉換
我們之前接觸的證書都是X.509格式,採用ASCII的PEM編碼。還有其他一些證書編碼格式與容器類型。OpenSSL可以用來在眾多不同類型之間轉換證書。本部分主要介紹與證書格式轉換相關的OpenSSL命令。
5.1 PEM轉DER
可以將PEM編碼的證書domain.crt轉換為二進制DER編碼的證書domain.der:
DER格式通常用於Java。
5.2 DER轉PEM
同樣,可以將DER編碼的證書(domain.der)轉換為PEM編碼(domain.crt):
5.3 PEM轉PKCS7
可以將PEM證書(domain.crt和ca-chain.crt)添加到一個PKCS7(domain.p7b)文件中:
使用-certfile選項指定要添加到PKCS7中的證書。
PKCS7文件也被稱為P7B,通常用於Java的Keystore和微軟的IIS中保存證書的ASCII文件。
5.4 PKCS7轉換為PEM
使用下面的命令將PKCS7文件(domain.p7b)轉換為PEM文件:
如果PKCS7文件中包含多個證書,例如一個普通證書和一個中間CA證書,那麼輸出的PEM文件中將包含所有的證書。
5.5 PEM轉換為PKCS12
可以將私鑰文件(domain.key)和證書文件(domain.crt)組合起來生成PKCS12文件(domain.pfx):
上述命令將提示你輸入導出密碼,可以留空不填。
PKCS12文件也被稱為PFX文件,通常用於導入/導出微軟IIS中的證書鏈。
5.6 PKCS12轉換為PEM
也可以將PKCS12文件(domain.pfx)轉換為PEM格式(domain.combined.crt):
注意如果PKCS12文件中包含多個條目,例如證書及其私鑰,那麼生成的PEM文件中將包含所有條目。