亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

linux中如何使用OpenSSL來處理SSL證書

發布時間:2021-10-28 17:46:17 來源:億速云 閱讀:171 作者:小新 欄目:系統運維

這篇文章主要介紹linux中如何使用OpenSSL來處理SSL證書,文中介紹的非常詳細,具有一定的參考價值,感興趣的小伙伴們一定要看完!

OpenSSL 是一個多功能的命令行工具,可以用于與公鑰基礎設施Public Key Infrastructure(PKI)和 HTTPS(HTTP over TLS)相關的大量任務。這本小抄風格的指南提供了 OpenSSL 命令的快速參考,這些命令在常見的日常場景中非常有用。這包括生成私鑰、證書簽署請求certificate signing request(CSR)和證書格式轉換的 OpenSSL 示例,但它并沒有涵蓋 OpenSSL 的所有用途。

如何使用本指南

  • 如果你不熟悉證書簽署請求(CSR),請閱讀第一部分。

  • 除了第一部分,本指南采用了簡單的小抄格式:自帶了命令行代碼片段。

  • 跳到與你準備完成的任務相關的任何部分。

  • 大多數命令都是單行的,為了清晰起見,已經擴展到多行(使用 \ 符號)。

關于證書簽署請求(CSR)

如果你想從證書頒發機構certificate authority(CA)那里獲得 SSL 證書,你必須生成一個證書簽署請求certificate signing request(CSR)。一個 CSR 主要是由一個密鑰對的公鑰和一些附加信息組成。當證書被簽署時,這兩部分都會被插入到證書中。

每當你生成一個 CSR 時,你會被提示提供有關證書的信息。這些信息被稱為區分名稱Distinguised Name(DN)。DN 中的一個重要字段是通用名稱Common Name(CN),它應該是你打算使用證書的主機的完全合格域名Fully Qualified Domain Name(FQDN)。當創建 CSR 時,也可以通過命令行或文件傳遞信息來跳過交互式提示。

DN 中的其他項目提供了有關你的業務或組織的附加信息。如果你是從證書機構購買 SSL 證書,通常要求這些附加字段(如“組織Organization”)準確地反映你的組織的詳細信息。

下面是一個 CSR 信息提示的例子:

---Country Name (2 letter code) [AU]:USState or Province Name (full name) [Some-State]:New YorkLocality Name (eg, city) []:BrooklynOrganization Name (eg, company) [Internet Widgits Pty Ltd]:Example Brooklyn CompanyOrganizational Unit Name (eg, section) []:Technology DivisionCommon Name (e.g. server FQDN or YOUR name) []:examplebrooklyn.comEmail Address []:

如果你想非交互式地回答 CSR 信息提示,你可以通過在任何請求 CSR 信息的 OpenSSL 命令中添加 -subj 選項來實現。這里是該選項的一個例子,使用上面代碼塊中顯示的相同信息:

-subj "/C=US/ST=New York/L=Brooklyn/O=Example Brooklyn Company/CN=examplebrooklyn.com"

現在你已經了解了 CSR,可以自由跳轉到本指南中涵蓋你的 OpenSSL 需求的任何一節。

生成 CSR

本節介紹了與生成 CSR(以及私鑰,如果它們還不存在的話)有關的 OpenSSL 命令。CSR 可以用來向證書頒發機構請求 SSL 證書。

請記住,你可以通過上一節中提到的 -subj 選項非交互式地添加 CSR 信息。

生成一個私鑰和一個 CSR

如果你想使用 HTTPS(HTTP over TLS)來保護你的 Apache HTTP 或 Nginx Web   服務器的安全,并且你想使用一個證書頒發機構(CA)來頒發 SSL 證書,那么就使用這個方法。生成的 CSR 可以發送給 CA,請求簽發由 CA   簽名的 SSL 證書。如果你的 CA 支持 SHA-2,請添加 -sha256 選項,用 SHA-2 簽署 CSR。

這條命令從頭開始創建一個 2048 位的私鑰(domain.key)和一個 CSR(domain.csr):

openssl req \       -newkey rsa:2048 -nodes -keyout domain.key \       -out domain.csr

回答 CSR 信息提問,完成該過程。

選項 -newkey rsa:2048 指定密鑰應該是 2048 位,使用 RSA 算法生成。選項 -nodes 指定私鑰沒有用密碼加密。這里沒有包含 -new 選項,而是隱含在其中,表示正在生成一個 CSR。

從現有的私鑰中生成一個 CSR

如果你已經有了私鑰,并想用它向 CA 申請證書,請使用這個方法。

該命令基于現有的私鑰(domain.key)創建一個新的 CSR(domain.csr):

openssl req \       -key domain.key \       -new -out domain.csr

回答 CSR 信息提問,完成該過程。

選項 -key 指定一個現有的私鑰(domain.key),它將被用來生成一個新的 CSR。選項 -new 表示正在生成一個 CSR。

從現有的證書和私鑰生成 CSR

如果你想更新現有的證書,但由于某些原因,你或你的 CA 沒有原始的 CSR,請使用這個方法。基本上可以省去重新輸入 CSR 信息的麻煩,因為它是從現有證書中提取信息的。

該命令基于現有的證書(domain.crt)和私鑰(domain.key)創建一個新的 CSR(domain.csr):

openssl x509 \       -in domain.crt \       -signkey domain.key \       -x509toreq -out domain.csr

選項 -x509toreq 指定你使用一個 X509 證書來制作 CSR。

生成 SSL 證書

如果你想使用 SSL 證書來確保服務的安全,但你不需要 CA 簽名的證書,一個有效的(和免費的)解決方案是簽署你自己的證書。

你可以自己簽發的一種常見證書是自簽證書self-signed certificate。自簽證書是用自己的私鑰簽署的證書。自簽證書和 CA 簽名證書一樣可以用來加密數據,但是你的用戶會顯示一個警告,說這個證書不被他們的計算機或瀏覽器信任。因此,只有當你不需要向用戶證明你的服務身份時,才可以使用自簽名證書(例如非生產或非公開服務器)。

本節介紹與生成自簽名證書相關的 OpenSSL 命令。

生成自簽證書

如果你想使用 HTTPS(HTTP over TLS)來保護你的 Apache HTTP 或 Nginx Web 服務器,并且你不需要你的證書由 CA 簽名,那么就使用這個方法。

這個命令可以從頭開始創建一個 2048 位的私鑰(domain.key)和一個自簽證書(domain.crt):

openssl req \       -newkey rsa:2048 -nodes -keyout domain.key \       -x509 -days 365 -out domain.crt

回答 CSR 信息提問,完成該過程。

選項 -x509 告訴 req 子命令創建一個自簽名的證書。-days 365 選項指定證書的有效期為 365 天。它會生成一個臨時的 CSR,以收集與證書相關的信息。

從現有私鑰生成自簽名證書

如果你已經有了一個私鑰,并且你想用它來生成一個自簽證書,請使用這個方法。

這條命令可以從現有的私鑰(domain.key)中創建一個自簽證書(domain.crt):

openssl req \       -key domain.key \       -new \       -x509 -days 365 -out domain.crt

回答 CSR 信息提問,完成該過程。

選項 -x509 告訴 req 子命令創建一個自簽證書。-days 365 選項指定證書的有效期為 365 天。選項 -new 啟用 CSR 信息提問。

從現有的私鑰和 CSR 生成自簽證書

如果你已經有了私鑰和 CSR,并且你想用它們生成一個自簽證書,請使用這個方法。

這條命令將從現有的私鑰(domain.key)和(domain.csr)中創建一個自簽證書(domain.crt)。

openssl x509 \       -signkey domain.key \       -in domain.csr \       -req -days 365 -out domain.crt

選項 -days 365 指定證書的有效期為 365 天。

查看證書

證書和 CSR 文件是以 PEM 格式編碼的,不適合被人讀取。

本節介紹的 OpenSSL 命令將輸出 PEM 編碼文件的實際條目。

查看 CSR 條目

該命令允許你查看和驗證純文本的 CSR(domain.csr)的內容:

  1. openssl req \
          -text -noout -verify \
          -in domain.csr

查看證書條目

該命令允許你查看純文本證書(domain.crt)的內容:

  1. openssl x509 \
          -text -noout \
          -in domain.crt

驗證證書由 CA 簽署

使用此命令驗證證書(domain.crt)是否由特定的 CA 證書(ca.crt)簽署:

  1. openssl verify \
          -verbose -CAFile ca.crt \
          domain.crt

私鑰

本節介紹了用于創建和驗證私鑰的 OpenSSL 命令。

創建私鑰

使用該命令創建一個受密碼保護的 2048 位私鑰(domain.key):

  1. openssl genrsa \
          -des3 -out domain.key 2048

在提示時輸入密碼以完成該過程。

驗證私鑰

使用此命令檢查私鑰(domain.key)是否為有效密鑰:

  1. openssl rsa \
          -check -in domain.key

如果你的私鑰已經加密,系統會提示你輸入它的密碼,成功后,未加密的密鑰會在終端上輸出。

驗證私鑰是否與證書和 CSR 匹配

使用這些命令來驗證私鑰(domain.key)是否匹配證書(domain.crt)和 CSR(domain.csr):

openssl rsa  -noout -modulus -in domain.key | openssl md5openssl x509 -noout -modulus -in domain.crt | openssl md5openssl req  -noout -modulus -in domain.csr | openssl md5

如果每條命令的輸出都是相同的,那么私鑰、證書和 CSR 就極有可能是相關的。

加密私鑰

這需要一個未加密的私鑰(unencrypted.key),并輸出它的加密版本(encrypted.key):

openssl rsa -des3 \       -in unencrypted.key \       -out encrypted.key

輸入你所需的密碼,以加密私鑰。

解密私鑰

這需要一個加密的私鑰(encrypted.key),并輸出一個解密的版本(decrypted.key):

openssl rsa \       -in encrypted.key \       -out decrypted.key

在提示時,輸入加密密鑰的密碼。

轉換證書格式

我們一直在使用的所有證書都是 ASCII 碼 PEM 編碼的 X.509 證書。還有很多其他的證書編碼和容器類型;一些應用程序喜歡某些格式而不是其他格式。此外,這些格式中的許多格式可以在一個文件中包含多個項目,如私鑰、證書和 CA 證書。

OpenSSL 可以用來將證書在則西格式間轉換。本節將介紹一些可能的轉換。

將 PEM 轉換為 DER

如果要將 PEM 編碼的證書(domain.crt)轉換為 DER 編碼的證書(domain.der),即二進制格式,請使用此命令:

openssl x509 \       -in domain.crt \       -outform der -out domain.der

DER 格式通常與 Java 一起使用。

將 DER 轉換為 PEM

如果要將 DER 編碼的證書(domain.der)轉換為 PEM 編碼的證書(domain.crt),請使用此命令:

openssl x509 \       -inform der -in domain.der \       -out domain.crt
將 PEM 轉換為 PKCS7

如果你想把 PEM 證書(domain.crtca-chain.crt)添加到 PKCS7 文件(domain.p7b)中,請使用該命令:

openssl crl2pkcs7 -nocrl \       -certfile domain.crt \       -certfile ca-chain.crt \       -out domain.p7b

請注意,你可以使用一個或多個 -certfile 選項來指定要添加到 PKCS7 文件中的證書。

PKCS7 文件,也被稱為 P7B,通常用于 Java Keystores 和 Microsoft IIS(Windows)。它們是 ASCII 文件,可以包含證書和 CA 證書。

將 PKCS7 轉換為 PEM

如果你想將 PKCS7 文件(domain.p7b)轉換為 PEM 文件,請使用該命令:

openssl pkcs7 \       -in domain.p7b \       -print_certs -out domain.crt

請注意,如果你的 PKCS7 文件中有多個項目(如證書和 CA 中間證書),創建的 PEM 文件將包含其中的所有項目。

將 PEM 轉換為 PKCS12

如果你想使用私鑰(domain.key)和證書(domain.crt),并將它們組合成一個 PKCS12 文件(domain.pfx),請使用這個命令:

openssl pkcs12 \       -inkey domain.key \       -in domain.crt \       -export -out domain.pfx

系統會提示你輸入導出密碼,你可以留空。請注意,在這種情況下,你可以通過將多個證書連接到一個 PEM 文件(domain.crt)中來添加一個證書鏈到 PKCS12 文件中。

PKCS12 文件,也被稱為 PFX 文件,通常用于在 Micrsoft IIS(Windows)中導入和導出證書鏈。

將 PKCS12 轉換為 PEM

如果你想轉換 PKCS12 文件(domain.pfx)并將其轉換為 PEM 格式(domain.combined.crt),請使用此命令:

openssl pkcs12 \       -in domain.pfx \       -nodes -out domain.combined.crt

請注意,如果你的 PKCS12 文件中有多個項目(如證書和私鑰),創建的 PEM 文件將包含其中的所有項目。

OpenSSL 版本

openssl version 命令可以用來檢查你正在運行的版本。你正在運行的 OpenSSL 版本,以及編譯時使用的選項會影響到你可以使用的功能(有時也會影響到命令行選項)。

下面的命令顯示了你正在運行的 OpenSSL 版本,以及它被編譯時的所有選項:

openssl version -a

本指南是使用具有如下細節的 OpenSSL 二進制文件編寫的(參見前面命令的輸出):

OpenSSL 1.0.1f 6 Jan 2014built on: Mon Apr  7 21:22:23 UTC 2014platform: debian-amd64options:  bn(64,64) rc4(16x,int) des(idx,cisc,16,int) blowfish(idx)compiler: cc -fPIC -DOPENSSL_PIC -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -m64 -DL_ENDIAN -DTERMIO -g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -D_FORTIFY_SOURCE=2 -Wl,-Bsymbolic-functions -Wl,-z,relro -Wa,--noexecstack -Wall -DMD32_REG_T=int -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASMOPENSSLDIR: "/usr/lib/ssl"

以上是“linux中如何使用OpenSSL來處理SSL證書”這篇文章的所有內容,感謝各位的閱讀!希望分享的內容對大家有幫助,更多相關知識,歡迎關注億速云行業資訊頻道!

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

吉木萨尔县| 永丰县| 天峨县| 马尔康县| 蓝田县| 太湖县| 西林县| 苗栗市| 平阳县| 宜兰县| 沿河| 楚雄市| 宜黄县| 措美县| 涪陵区| 东辽县| 诸城市| 渭南市| 绥宁县| 山西省| 宁远县| 小金县| 高邑县| 二连浩特市| 财经| 和田市| 广汉市| 奉节县| 老河口市| 旺苍县| 珠海市| 商河县| 上栗县| 安庆市| 西昌市| 星座| 轮台县| 两当县| 雅江县| 成都市| 格尔木市|