openssl证书命令行

最新推荐文章于 2025-06-20 09:58:41 发布
原创 最新推荐文章于 2025-06-20 09:58:41 发布 · 1.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#openssl 命令

openssl x509部分命令
打印出证书的内容:
openssl x509 -in cert.pem -noout -text
打印出证书的系列号
openssl x509 -in cert.pem -noout -serial
打印出证书的拥有者名字
openssl x509 -in cert.pem -noout -subject
以RFC2253规定的格式打印出证书的拥有者名字
openssl x509 -in cert.pem -noout -subject -nameopt RFC2253
在支持UTF8的终端一行过打印出证书的拥有者名字
openssl x509 -in cert.pem -noout -subject -nameopt oneline -nameopt -escmsb
打印出证书的MD5特征参数
openssl x509 -in cert.pem -noout -fingerprint
打印出证书的SHA特征参数
openssl x509 -sha1 -in cert.pem -noout -fingerprint
把PEM格式的证书转化成DER格式
openssl x509 -in cert.pem -inform PEM -out cert.der -outform DER
把一个证书转化成CSR
openssl x509 -x509toreq -in cert.pem -out req.pem -signkey key.pem
给一个CSR进行处理,颁发字签名证书,增加CA扩展项
openssl x509 -req -in careq.pem -extfile openssl.cnf -extensions v3_ca -signkey key.pem -out cacert.pem
给一个CSR签名,增加用户证书扩展项
openssl x509 -req -in req.pem -extfile openssl.cnf -extensions v3_usr -CA cacert.pem -CAkey key.pem -CAcreateserial
查看csr文件细节:

openssl req -in my.csr -noout -text

 

生成RSA私钥

openssl genrsa -out RootCA.key 2048/1024

私钥生成公钥

openssl rsa -in RootCA.key -pubout -out RootCA_public_key.pem

生成证书链

生成根CA并自签(Common NameRootCA)

openssl genrsa -des3-out keys/RootCA.key 2048

openssl req -new-x509 -days 3650 -key keys/RootCA.key -out keys/RootCA.crt

生成二级CA(Common NamesecondCA)

openssl genrsa-des3 -out keys/secondCA.key 2048

openssl rsa -inkeys/secondCA.key -out keys/secondCA.key

openssl req -new-days 3650 -key keys/secondCA.key -out keys/secondCA.csr

openssl ca-extensions v3_ca -in keys/secondCA.csr -config /etc/pki/tls/openssl.cnf -days3650 -out keys/secondCA.crt -cert keys/RootCA.crt -keyfile keys/RootCA.key

生成三级CA(Common NamethirdCA)

openssl genrsa-des3 -out keys/thirdCA.key 2048

openssl rsa -inkeys/thirdCA.key -out keys/thirdCA.key

openssl req -new-days 3650 -key keys/thirdCA.key -out keys/thirdCA.csr

openssl ca-extensions v3_ca -in keys/thirdCA.csr -config /etc/pki/tls/openssl.cnf -days3650 -out keys/thirdCA.crt -cert keys/secondCA.crt -keyfile keys/secondCA.key

使用三级CA签发服务器证书

openssl genrsa-des3 -out keys/server.key 2048

openssl rsa -inkeys/server.key -out keys/server.key

openssl req -new-days 3650 -key keys/server.key -out keys/server.csr

openssl ca -inkeys/server.csr -config /etc/pki/tls/openssl.cnf -days 3650 -outkeys/server.crt -cert keys/thirdCA.crt -keyfile keys/thirdCA.key

 

openssl命令行之提取证书或者私钥中的md5值
我不是码农的博客~~~
04-16 78
【代码】openssl命令行之提取证书或者私钥中的md5值。
openssl命令操作证书链实例
09-06
提供实际操作的示例,演示linux下用openssl提供的命令,生成多级证书,并验证各级证书的合法性。
使用Openssl验证证书
weixin_34008805的博客
06-23 385
使用Openssl验证证书链 项目中遇到使用Openssl验证证书链的问题,在网上找了很长时间,发现这方面的资料很少,通过多方努力,总算实现了基本功能,为了 给大家提供一下参考,本人实现了一个验证证书链的类,以供参考,由于本人也是刚刚接触Openssl,如果有不正确的地方,请大家多多指导 view plaincopy to clipboardprint?...
微信查看证书序列号
m0_70347230的博客
06-20 332
摘要:本文介绍了OpenSSL的安装及证书查询方法。安装步骤包括下载exe程序、同意协议、选择路径完成安装,并配置系统环境变量添加OpenSSL路径。查询证书序列号时,通过Win+R打开CMD,输入命令"openssl x509 -in 证书路径 -noout -serial"即可显示证书序列号。全文简洁明了地提供了从软件安装到证书查询的完整操作流程。(142字)
Openssl及Keytool相关指令
weixin_40908937的博客
10-09 328
#查看私钥,需要输入私钥密码 openssl rsa -in rsa.key #证书校验 openssl verify -CAfile trust.cer server.pem #用openssl导出证书和key openssl pkcs12 -in server.keystore.pkcs12 -clcerts -nokeys -out cert.pem openssl pkcs12 -in...
OpenSSL学习笔记:openssl命令行的使用
Code_Thinking的专栏
11-21 2188
操作环境:
openssl命令行-证书认证
weixin_30585437的博客
03-19 298
命令1: openssl genrsa -out root.key 1024 产生一个root.key的私钥命令2: openssl req -key root.key -new -out root.req 根据私钥生产一个证书请求req文件 命令3: opensslx509-req-inroot.req-signkeyroot.key-out...
openssl命令行生成SM2证书
weixin_43432215的博客
07-09 2265
【代码】openssl命令行生成SM2证书
做CA证书OpenSSL命令行麻烦吗?来试试CABuilder4OpenSSL
03-17
而“工具”标签表明这是一款实用软件,旨在解决特定问题,即简化OpenSSL证书管理。 在压缩包文件名称“CABuilder4Openssl”中,我们可以假设这包含了该工具的所有源代码、编译后的可执行文件、文档或者安装脚本。...
Openssl命令行用法简介
zntsbkhhh的博客
02-20 5740
Openssl命令行用法简介 去年推出的一些文章中曾介绍过使用openssl命令行完成SHA1、DES、RSA等运算的方法。但其实openssl支持的加解密、签名验签、摘要算法远不止这些。根据不同的应用场景,用户可以自行选择需要的功能。本期介绍如何查阅openssl指令用法。 第一步:查看openssl支持哪些算法指令 命令行输入openssl --help回车可见图1所示,列出了包括签名验签、...
OpenSSL 证书
u010249118的博客
10-11 6374
X.509 OpenSSL 证书
openssl 生成自签名证书以及CA证书
jxhaha的博客
06-18 2325
这里涉及到一个server.ext,这是为了适应现代浏览器SSL证书标准。和root.ext类似,需要手动创建,内容如下。这里涉及到一个ca_intermediate.ext,和root.ext类似,需要手动创建,内容如下。执行命令后,会提示你输入一些内容,请按照提示输入,每一项输入的内容需要自己记住。中间证书的制作过程与根证书类似,这里直接将命令贴上。中间证书的制作过程与根证书类似,这里直接将命令贴上。进一步输入一下命令进行验证。结果中必须包含如下类容。执行结果应该和下面一致。输出结果应该如下所示。
使用OpenSSL工具验证证书
Htojk的博客
03-28 4141
验证证书文件的原理是基于公钥加密技术。证书中包含公钥,私钥由证书所有者保留。当客户端与服务器建立安全连接时,服务器会将证书发送给客户端,客户端使用包含在证书中的公钥来验证服务器身份,并加密通信数据。如果证书有效且签名有效,则客户端可以相信服务器的身份,建立安全通信。:SSL 证书通常包含公钥、证书所有者的信息、证书颁发机构(Certificate Authority, CA)的签名以及证书的有效期等信息。以上命令将检查证书的签名链是否可以追溯到根证书,并给出验证结果。
openssl查看证书公钥 openssl 验证证书和密钥
eagle89的专栏
08-19 3911
openssl查看证书公钥 openssl 验证证书和密钥
linux 进程 ssl 状态,linux – 如何检查我的SSL证书是否已被撤销
weixin_32272937的博客
04-29 707
从您的证书获取ocsp网址:$openssl x509 -noout -ocsp_uri -in /etc/letsencrypt/archive/31337.it/cert1.pemhttp://ocsp.int-x1.letsencrypt.org/$向ocsp服务器发送请求以检查证书是否被撤销:$openssl ocsp -issuer /etc/letsencrypt/archive/31...
openssl证书撤销列表(Certificate Revocation List,简称CRL)详解
N阶二进制的博客
12-11 3854
证书撤销列表(Certificate Revocation List,简称CRL),是一种包含撤销的证书列表的签名数据结构。CRL是证书撤销状态的公布形式,CRL就像信用卡的黑名单,用于公布某些数字证书不再有效。CRL是一种离线的证书状态信息。它以一定的周期进行更新。CRL可以分为完全CRL和增量CRL。在完全CRL中包含了所有的被撤销证书信息,增量CRL由一系列的CRL来表明被撤销的证书信息,它每次发布的CRL是对前面发布CRL的增量扩充。
联盟链系列 - 用Openssl管理CRL
搬砖魁首的博客
11-29 3844
CRL(Certificate revocation lists) CRL是证书吊销列表, 用于验证数字证书有效性. 数据证书在有效期内是无法强制撤销的, 只能通过将它们添加到适当的CRL中来撤销它们。 可往CRL中添加中间或根证书,也可增加特指的某个X509证书 修改中间CA的配置文件 指定用于展示CRl的PEM文件的网址 [ server_cert ] # ... snipped ... crlDistributionPoints = URI:http://example.com/intermediat
使用OpenSSL命令行模拟证书签发
最新发布
07-24
<think>我们正在模拟证书签发过程,使用OpenSSL命令行工具。证书签发通常涉及以下步骤: 1. 生成根证书的私钥 2. 创建自签名的根证书(CA证书) 3. 生成服务器(或用户)证书的私钥 4. 创建服务器证书证书签名请求(CSR) 5. 使用根证书的私钥对服务器证书的CSR进行签名,生成服务器证书 下面我们逐步进行: ### 步骤1: 生成根证书的私钥 使用以下命令生成一个RSA私钥(例如,2048位): ```bash openssl genrsa -out ca.key 2048 ``` ### 步骤2: 创建自签名的根证书 使用上一步生成的私钥创建自签名的根证书(CA证书)。在生成证书时,需要提供一些信息(如国家、组织等): ```bash openssl req -new -x509 -days 3650 -key ca.key -out ca.crt ``` 执行此命令后,会提示输入一些信息,这些信息将被嵌入到根证书中。 ### 步骤3: 生成服务器证书的私钥 同样,生成一个用于服务器证书的私钥: ```bash openssl genrsa -out server.key 2048 ``` ### 步骤4: 创建服务器证书证书签名请求(CSR) 使用服务器私钥生成证书签名请求(CSR): ```bash openssl req -new -key server.key -out server.csr ``` 同样,需要输入一些信息(注意:这些信息不必与根证书相同,但通常一些字段如国家、组织等需要符合一定的规则)。 ### 步骤5: 使用根证书签发服务器证书 使用根证书的私钥和根证书对服务器证书的CSR进行签名: ```bash openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt ``` 这里: - `-CA` 指定根证书 - `-CAkey` 指定根证书的私钥 - `-CAcreateserial` 选项会生成一个序列号文件(ca.srl),用于记录下一个可用的序列号 ### 验证证书 我们可以验证服务器证书是否由根证书签发: ```bash openssl verify -CAfile ca.crt server.crt ``` ### 示例 假设我们模拟一个简单的CA和服务器证书的签发过程,具体命令如下: 1. 生成CA私钥: ```bash openssl genrsa -out ca.key 2048 ``` 2. 生成自签名CA证书(有效期10年): ```bash openssl req -new -x509 -days 3650 -key ca.key -out ca.crt # 输入信息示例: # Country Name (2 letter code) []:CN # State or Province Name (full name) []:Beijing # Locality Name (eg, city) []:Beijing # Organization Name (eg, company) []:My CA # Organizational Unit Name (eg, section) []:Root CA # Common Name (eg, fully qualified host name) []:My CA # Email Address []:ca@example.com ``` 3. 生成服务器私钥: ```bash openssl genrsa -out server.key 2048 ``` 4. 生成服务器CSR: ```bash openssl req -new -key server.key -out server.csr # 输入信息示例(注意Common Name是服务器的域名,例如:www.example.com): # ... 其他信息可以不同,但Common Name要写服务器域名 ``` 5. 用CA证书签名服务器CSR: ```bash openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt ``` 6. 验证: ```bash openssl verify -CAfile ca.crt server.crt ``` 这样,我们就得到了: - `ca.key`: CA私钥 - `ca.crt`: CA证书(根证书) - `server.key`: 服务器私钥 - `server.csr`: 服务器证书签名请求(可保留或删除) - `server.crt`: 服务器证书(由CA签发) ### 注意事项 - 在实际应用中,CA的私钥必须严格保护,因为泄露CA私钥意味着可以签发任意证书。 - 上述过程是简化版,实际中可能还会涉及扩展项(如主题备用名称SAN)等,可以通过配置文件添加。 ### 添加扩展项(可选) 如果需要为服务器证书添加扩展项(例如subjectAltName),可以创建一个配置文件(如`server.ext`): ``` authorityKeyIdentifier=keyid,issuer basicConstraints=CA:FALSE keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment subjectAltName = @alt_names [alt_names] DNS.1 = www.example.com DNS.2 = example.com ``` 然后在签名时使用该配置文件: ```bash openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -extfile server.ext ``` 这样生成的服务器证书就包含了SAN扩展。 §§相关问题§§ 1. 如何为OpenSSL生成的证书添加主题备用名称(SAN)? 2. 如何使用OpenSSL创建中间CA并签发证书? 3. 如何将根证书安装到系统信任库中? 4. OpenSSL命令中,`-CAcreateserial`参数的作用是什么? 5. 如何查看证书的详细信息(如有效期、颁发者、主题等)?</think>### OpenSSL命令行模拟证书签发过程 OpenSSL命令行工具模拟证书签发过程主要包括以下步骤: #### 1. 生成根证书(CA证书) ```bash # 生成CA私钥 openssl genrsa -out ca.key 2048 # 创建自签名根证书(有效期10年) openssl req -new -x509 -days 3650 -key ca.key -out ca.crt ``` 执行后会提示输入证书信息(国家/组织/通用名等),通用名建议使用`My Root CA`。 #### 2. 生成服务器证书请求(CSR) ```bash # 生成服务器私钥 openssl genrsa -out server.key 2048 # 创建证书签名请求(CSR) openssl req -new -key server.key -out server.csr ``` 在通用名(Common Name)处输入服务器域名(如`www.example.com`)。 #### 3. 签发服务器证书 ```bash # 使用CA证书签发服务器证书 openssl x509 -req -days 365 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt ``` 参数说明: - `-CAcreateserial`:生成唯一的序列号文件(`ca.srl`) - `-days 365`:证书有效期1年 - 输出`server.crt`为最终签发的证书 #### 4. 验证证书链 ```bash # 验证证书是否由CA签发 openssl verify -CAfile ca.crt server.crt # 查看证书详细信息 openssl x509 -in server.crt -text -noout ``` #### 完整流程示例 ```bash # 生成CA openssl genrsa -out ca.key 2048 openssl req -new -x509 -days 3650 -key ca.key -out ca.crt # 生成服务器证书 openssl genrsa -out server.key 2048 openssl req -new -key server.key -out server.csr openssl x509 -req -days 365 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt # 验证 openssl verify -CAfile ca.crt server.crt ``` #### 关键文件说明: | 文件 | 作用 | |------|------| | `ca.key` | CA私钥(需严格保密) | | `ca.crt` | 根证书(需分发给客户端) | | `server.key` | 服务器私钥 | | `server.csr` | 证书签名请求(可删除) | | `server.crt` | 最终服务器证书 | ### 常见问题解决 1. **证书验证失败**: ```bash # 添加CA信任链 cat ca.crt >> /etc/ssl/certs/ca-certificates.crt ``` 2. **缺少扩展属性**: 使用配置文件添加扩展(创建`ext.cnf`): ```ini [ req ] req_extensions = v3_req [ v3_req ] subjectAltName = @alt_names [ alt_names ] DNS.1 = www.example.com ``` 签发时添加:`-extfile ext.cnf -extensions v3_req` 3. **密钥格式转换**(如需要PKCS#12格式): ```bash openssl pkcs12 -export -out server.p12 -inkey server.key -in server.crt ``` > 注意:生产环境应使用更安全的椭圆曲线密钥(如`openssl ecparam -genkey -name prime256v1`),并设置合理的证书有效期[^1]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值