openssl采用sm2进行自签名的方法

最新推荐文章于 2025-07-06 10:09:39 发布
最新推荐文章于 2025-07-06 10:09:39 发布
阅读量1.8k 收藏 3
点赞数
分类专栏: 加密
本文详细介绍了两种自签名SSL证书的生成方法,一种是使用私钥生成CSR并创建证书,另一种是建立自己的CA。此外,还提供了具体的OpenSSL命令示例,包括私钥和证书的生成,以及如何验证证书的完整性和一致性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

https://blog.youkuaiyun.com/dong_beijing/article/details/81417214

自签名有两种方法:

1 用自己会话生成的私钥,来签发自己的csr生成证书,也可以直接生成私钥和证书

2 自己做一个CA.

1,2的差别在于私钥的生成和存活的时间.

以1的方法如下:

生成私钥

./openssl ecparam -genkey -name SM2 -out priv.key

生成证书

./openssl req -new -x509 -sha256 -key priv.key -out cer.crt -days 10000 -subj '/C=CN/ST=Beijing/L=Haidian/O=Datang/OU=SDT/CN=Shixun/emailAddress=dongzy08@163.com'

这里ecdsa with sha256可能需要换成sm3,不过在RFC 5349中规定为ecdsa SHA做digest,所以需要做二次开发,这次暂时用这个.

此时的cer.crt作为自签名的证书已经生成了,证书中包括公钥和基本的信息,公钥可以由私钥生成,所以用私钥输入.

查看证书的方法:

./openssl x509 -in cer.crt -noout -text

可见如下输出

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            71:d4:be:b6:9e:6a:3b:52:7e:f4:3c:73:27:44:d8:71:df:02:d3:2e
        Signature Algorithm: ecdsa-with-SHA256
        Issuer: C = CN, ST = Beijing, L = Haidian, O = Datang, OU = SDT, CN = Shixun, emailAddress = dongzy08@163.com
        Validity
            Not Before: Aug  4 16:22:50 2018 GMT
            Not After : Dec 20 16:22:50 2045 GMT
        Subject: C = CN, ST = Beijing, L = Haidian, O = Datang, OU = SDT, CN = Shixun, emailAddress = dongzy08@163.com
        Subject Public Key Info:
            Public Key Algorithm: id-ecPublicKey
                Public-Key: (256 bit)
                pub:
                    04:e8:4a:d6:a6:55:e0:c6:60:65:9e:60:bd:12:b8:
                    0e:90:bd:ae:76:f7:d7:f2:05:d2:bb:f8:e8:76:6d:
                    1f:79:64:18:3d:c9:4d:db:07:fd:8b:99:dc:6f:6f:
                    32:39:53:c5:f7:7c:8d:bb:94:1c:f2:a4:fc:f9:0c:
                    9f:0f:e2:c3:13
                ASN1 OID: SM2
        X509v3 extensions:
            X509v3 Subject Key Identifier: 
                33:22:BA:1B:9E:57:F2:06:61:66:99:A5:EC:FF:F7:44:19:CD:B8:2D
            X509v3 Authority Key Identifier: 
                keyid:33:22:BA:1B:9E:57:F2:06:61:66:99:A5:EC:FF:F7:44:19:CD:B8:2D
 
            X509v3 Basic Constraints: critical
                CA:TRUE
    Signature Algorithm: ecdsa-with-SHA256
         30:44:02:20:07:14:07:18:54:4f:50:78:0c:05:64:75:25:60:
         f3:db:c5:9d:04:22:3f:ef:83:74:46:d7:41:ee:3f:db:06:f6:
         02:20:67:ca:21:0e:69:05:9a:b6:67:b3:63:74:27:93:5b:26:
         8e:4c:67:65:b1:eb:8b:16:18:1a:90:39:1b:4a:88:84

看看公钥是否是与私钥相一致

./openssl ec -in priv.key -pubout -noout -text

如下输出:

Private-Key: (256 bit)
priv:
    3e:6e:45:f5:ab:3e:2f:80:9b:ec:93:2e:aa:9c:78:
    38:2f:72:19:96:c5:44:06:c1:6b:66:75:41:0e:5d:
    a4:0f
pub:
    04:e8:4a:d6:a6:55:e0:c6:60:65:9e:60:bd:12:b8:
    0e:90:bd:ae:76:f7:d7:f2:05:d2:bb:f8:e8:76:6d:
    1f:79:64:18:3d:c9:4d:db:07:fd:8b:99:dc:6f:6f:
    32:39:53:c5:f7:7c:8d:bb:94:1c:f2:a4:fc:f9:0c:
    9f:0f:e2:c3:13
ASN1 OID: SM2

可见证书中的pub与priv.key是一致的,这样输出的cer.crt中,包含了会话的公钥,用于分发加密.而最后的ecdsa SHA256的数字签名,用于通过上面的公钥来验证证书的完整性,但不能验证证书的来源.

如果自己做CA的话,多了一步CA秘钥的生成+生成签名请求req+证书签发x509的过程.

作者:dong_beijing
来源:优快云
原文:https://blog.youkuaiyun.com/dong_beijing/article/details/81417214
版权声明:本文为博主原创文章,转载请附上博文链接!

openssl+ SM2 + linux 签名开发实例(C++)
N阶二进制的博客
11-22 2267
SM2签名使用消息摘要算法对原始消息进行哈希,通常采用SM3算法。
openssl 命令行国密sm2的加密解密签名验签操作
baron-周贺贺-代码改变世界ctw
07-31 2837
原始文件为in,签名为in.sign,使用sha256做摘要后使用SM2算法验签,输出验签结果。签名文件为in,使用sha256做摘要后使用SM2算法签名,输出文件为in.sign。
Openssl实现SM2非对称签名
05-26
利用OPENSSL,实现用国标SM2进行签名和验签名操作
Python gmssl.SM2签名与验证的SystemVerilog集成示例
最新发布
元直的博客
07-06 444
本文提出了一种SM2数字签名与验证的SystemVerilog集成方案,采用UVM-DPI-Python三层架构实现完整的加密验证流程。该方案通过Python调用gmssl库生成SM2密钥对,对随机消息进行签名和验证,并处理复杂数据结构在语言间的转换。系统包含密钥生成、数据签名签名验证三个核心功能模块,支持正反例测试验证。实验结果表明,该方案能正确完成SM2签名验证全流程,并有效检测错误数据。该实现为构建安全验证环境提供了可靠的技术基础,展示了异构系统集成处理非对称加密的可行性。
C++调用openssl实现国标sm2签名算法的使用
q2nAmor
12-13 4035
因为国产化原因,项目中需要使用国标sm2签名算法对文件进行签名和验签。OpenSSL 1.1.1版本提供了对国密SM2算法的支持,在之前的版本openssl不支持,所以大部分都采用开源库 gmssl。gmssl3已经脱离了openssl的依赖,现在是一个比较小的支持国密算法和ssl协议的三方库。关于gmssl的使用可以参考它的源码链接,还是比较简单的,但是本文没有使用gmssl,而是使用openssl1.1.1版本中的sm2的支持。
sm2+openssl.zip 使用C++实现的openssl调用sm2实现文件签名的功能 C++源代代码可以直接使用
12-14
因为国产化原因,项目中需要使用国标sm2签名算法对文件进行签名和验签。OpenSSL 1.1.1版本提供了对国密SM2算法的支持,在之前的版本openssl不支持。 关注公众号 QTShared,后台私信留言免费获取。
使用openssl 1.1.1版本,调试国密SM2签名、验签、加密解密、SM3
11-20
OpenSSL 1.1.1 新特性: 全面支持国密SM2/SM3/SM4加密算法,最近的项目涉及到国密,又局限于资源有限,只能只能上了。
使用OPENSSL实现SM2生成PEM格式公私钥对并用于签名验签
weixin_38700215的博客
07-27 3024
使用OPENSSL实现SM2生成PEM格式公私钥对并用于签名验签
sm2加密,解密,签名,验签,sm3哈希,基于openssl的C语言实现
10-27
sm2加密,解密,签名,验签,sm3哈希,基于openssl的C语言实现
openssl命令制作生成证书和自签名
10-12
openssl命令制作生成证书和自签名
国密SM2算法基于Openssl实现
11-23
基于Openssl算法库实现的SM2算法。实现数字签名和密钥交换,公钥加密没有实现。全部源代码,需要Openssl库支持,VC工程。 KDF使用标准HASH算法,没有使用SM3。 可参考作者的SM3算法实现KDF。 ECC曲线使用SM2算法建议曲线,内含SM2建议曲线测试。 仅算法过程演示,不适用于工程应用,欢迎提供宝贵意见可进一步完善。
openssl使用sm2算法
06-16
openssl使用sm2算法,其中带有openssl头文件及动态库,可直接编译运行。
sm2 sm9 加密 解密 签名 验签工具
04-28
实现了sm2加密功能,sm2解密功能,sm2签名功能,sm2验签功能,SM9算法加解密功能,SM9签名验签功能
openssl+ SM2 + linux 签名校验开发实例(C++)
N阶二进制的博客
11-23 2409
SM2签名使用消息摘要算法对原始消息进行哈希,通常采用SM3算法。在校验过程中,验证者也需要使用相同的哈希算法对接收到的消息进行哈希。
sm2 签名验签
择一事终一生
09-10 3556
目前发现 sm2 有很多实现,比如 gmssl, openssl 1.1.1 ,openssl 3.0,各种代码库实现等等。实践中发现这些实现会出现不能互相验签的情况。后续研究一下。
基于OpenSSL 1.1.1版实现的SM2签名与验签C程序
hbcbgcx的博客
06-14 3379
OpenSSL 1.1.1 版提供了对国密 SM4、SM3、SM2 算法的支持。对于 SM2 算法,在源码的 crypto/sm2 目录下,sm2_sign.c 文件中实现了 SM2 签名与验签, sm2_crypt.c 文件中实现了 SM2 加密与解密,这些源码是很好的学习范例。但是 sm2.h, sm3.h, sm4.h 这些头文件是放在源码的 crypto/include/internal ...
使用OpenSSL实现国标SM2非对称加密签名方法
代码实现细节可能涉及到具体的函数调用,比如在OpenSSL中进行SM2签名的函数可能是EVP_DigestSignInit、EVP_DigestSignUpdate和EVP_DigestSignFinal等系列函数。而进行验签则可能使用EVP_DigestVerifyInit、EVP_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值