证书格式:x509,pkcs12
x509:
包括公钥及其有效期限
证书的合法拥有者
证书该如何使用
CA的信息
CA签名的校验码
openssl
[root@localhost ~]# openssl ? openssl:Error: '?' is an invalid command. Standard commands asn1parse ca ciphers cms crl crl2pkcs7 dgst dh dhparam dsa dsaparam ec ecparam enc engine errstr gendh gendsa genpkey genrsa nseq ocsp passwd pkcs12 pkcs7 pkcs8 pkey pkeyparam pkeyutl prime rand req rsa rsautl s_client s_server s_time sess_id smime speed spkac ts verify version x509 Message Digest commands (see the `dgst' command for more details) md2 md4 md5 rmd160 sha sha1 Cipher commands (see the `enc' command for more details) aes-128-cbc aes-128-ecb aes-192-cbc aes-192-ecb aes-256-cbc aes-256-ecb base64 bf bf-cbc bf-cfb bf-ecb bf-ofb camellia-128-cbc camellia-128-ecb camellia-192-cbc camellia-192-ecb camellia-256-cbc camellia-256-ecb cast cast-cbc cast5-cbc cast5-cfb cast5-ecb cast5-ofb des des-cbc des-cfb des-ecb des-ede des-ede-cbc des-ede-cfb des-ede-ofb des-ede3 des-ede3-cbc des-ede3-cfb des-ede3-ofb des-ofb des3 desx idea idea-cbc idea-cfb idea-ecb idea-ofb rc2 rc2-40-cbc rc2-64-cbc rc2-cbc rc2-cfb rc2-ecb rc2-ofb rc4 rc4-40 seed seed-cbc seed-cfb seed-ecb seed-ofb zlib
标准命令:
[root@localhost ~]# openssl enc -des3 -a -in inittab -out inittab.des3
enc:加密
-des3:表示加密使用的算法
-a:
-in -out:输入文件和输出文件
[root@localhost ~]# openssl enc -des3 -d -a -in inittab.des3 -out inittab
-d:解密
dgst:计算特征码
[root@localhost ~]# openssl dgst -md5 inittab MD5(inittab)= 3768a70f5cc82dcdb3ce031b26fcb7ef [root@localhost ~]# md5sum inittab 3768a70f5cc82dcdb3ce031b26fcb7ef inittab
-md5:使用md5算法
passwd:给密码加密
[root@localhost ~]# openssl passwd -1 Password: #redhat Verifying - Password: $1$r4IAix30$IrHjX5LsZb9GJXoCnWL1T/ [root@localhost ~]# openssl passwd -1 -salt r4IAix30 Password: $1$r4IAix30$IrHjX5LsZb9GJXoCnWL1T/
-1:表示使用md5算法
#注意salt的用法
rsautl:rsa加密工具
rand:生成随机数
[root@localhost ~]# openssl rand -base64 123 dO6DUcjmcjWapFS/j5D1w7wVPk8jbEURqm0IXmx745WBtNUroM+kAP2BHB+sK4gD edaKY2xrBOSKRknX2slzszawYBYFRVRtjsGvtWPJCA/K4gCYMyklIk8n3QG6NBbv L8VP4gUPE1cm5fMRkq944S5WSqLdYS3/W2FC [root@localhost ~]# openssl rand -base64 7 UnaMol4pBg==
openssl实现私有CA:
生成一对密钥
生成自签证书
genrsa:生成rsa私钥
[root@localhost ~]# openssl genrsa 1024 > wudan.key Generating RSA private key, 1024 bit long modulus ..++++++ .............++++++ e is 65537 (0x10001)
生成1024位(默认是512位)的私钥,保存到文件里。
-out wudan.key 也可以使用选项保存到文件。
[root@localhost ~]# (umask 077; openssl genrsa 1024 > wudan.key)
注意私钥文件的权限!
rsa:控制管理ras密钥的工具
[root@localhost ~]# openssl rsa -in wudan.key -pubout writing RSA key -----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDJPhmeLCdt2fIvCaEFtxVvnWMw G8//5dqzOlDnEKg82cl4ShXpzxWS5QSxxqYYsxOA0ISNbG6uwiExsqqAakKhsZeW ySkRRgPlR9nZ6LE+rvb0YkbOT5XjuPrpXCva1L9hxffaZYPPUCo0uWHzc1vQ8Szc TqcP3Pj+lW3e4S9OzQIDAQAB -----END PUBLIC KEY-----
指定私钥,输出公钥
req:生成自签署的证书,布置一台证书服务器。
[root@localhost ~]# openssl req -new -x509 -key wudan.key -out wudan.crt -days 365
-new:代表新的申请
-x509:代表x509格式的证书
-key:代表使用什么私钥
-out:代表证书输出到什么文件
-days:代表证书的有效期。单位是天。
Country Name (2 letter code) [XX]:CN State or Province Name (full name) []:hubei Locality Name (eg, city) [Default City]:wuhan Organization Name (eg, company) [Default Company Ltd]:pp Organizational Unit Name (eg, section) []:tech Common Name (eg, your name or your server's hostname) []: #主机名这里非常重要,证书是对应服务器主机名的! Email Address []:
需要修改文件权限!
[root@localhost ~]# openssl x509 -text -in wudan.crt
输出证书的信息
生成证书之后,表示CA准备好了,可以给其它机器发证了。
/etc/pki/tls/openssl.cnf CA配置文件
用配置好的CA服务器给chomper.key这个私钥签名,生成证书chomper.crt
[root@localhost private]# openssl req -new -key chomper.key -out chomper.csr #先申请
csr:证书申请请求
[root@localhost private]# openssl ca -in chomper.csr -out chomper.crt #生成证书
-days 365:证书期限,单位天
[root@localhost certs]# make chomper.crt
umask 77 ; \
/usr/bin/openssl genrsa -aes128 2048 > chomper.key
Generating RSA private key, 2048 bit long modulus
........................+++
..................+++
e is 65537 (0x10001)
Enter pass phrase:
Verifying - Enter pass phrase:
umask 77 ; \
/usr/bin/openssl req -utf8 -new -key chomper.key -x509 -days 365 -out chomper.crt -set_serial 0
Enter pass phrase for chomper.key: