openssl证书相关
openssl genrsa -out server.key 1024(不要求输入密码)
openssl req -new -key server.key -out server.csr
cat server.csr
粘贴上述的文本到http://dc2.xxxx.info/certsrv/ 申请 高级证书申请---->Web 服务器证书,Ok后,下载Base 64 编码的证书,使用文本编辑器打开;
粘贴上述内容到 pf 服务器 存储到文件 server.crt
使用上述的文件server.key server.crt 替换/usr/local/pf/conf/ssl 的文件
/etc/init.d/packetfence restart
生成Self Signed证书
# 生成一个key,你的私钥,openssl会提示你输入一个密码,可以输入,也可以不输,
# 输入的话,以后每次使用这个key的时候都要输入密码,安全起见,还是应该有一个密码保护> openssl genrsa -des3 -out selfsign.key 4096# 使用上面生成的key,生成一个certificate signing request (CSR) # 如果你的key有密码保护,openssl首先会询问你的密码,然后询问你一系列问题, # 其中Common Name(CN)是最重要的,它代表你的证书要代表的目标,如果你为网站申请的证书,就要添你的域名。> openssl req -new -key selfsign.key -out selfsign.csr# 生成Self Signed证书 selfsign.crt就是我们生成的证书了 > openssl x509 -req -days 365 -in selfsign.csr -signkey selfsign.key -out selfsign.crt# 另外一个比较简单的方法就是用下面的命令,一次生成key和证书 > openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout privateKey.key -out certificate.crt
生成自己的CA (Certificate Authority)
# 生成CA的key> openssl genrsa -des3 -out ca.key 4096# 生成CA的证书> openssl req -new -x509 -days 365 -key ca.key -out ca.crt# 生成我们的key和CSR这两步与上面Self Signed中是一样的> openssl genrsa -des3 -out myserver.key 4096> openssl req -new -key myserver.key -out myserver.csr# 使用ca的证书和key,生成我们的证书 # 这里的set_serial指明了证书的序号,如果证书过期了(365天后), # 或者证书key泄漏了,需要重新发证的时候,就要加1> openssl x509 -req -days 365 -in myserver.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out myserver.crt
查看证书
# 查看KEY信息> openssl rsa -noout -text -in myserver.key# 查看CSR信息> openssl req -noout -text -in myserver.csr# 查看证书信息> openssl x509 -noout -text -in ca.crt# 验证证书 # 会提示self signed> openssl verify selfsign.crt# 因为myserver.crt 是幅ca.crt发布的,所以会验证成功 > openssl verify -CAfile ca.crt myserver.crt
去掉key的密码保护
有时候每次都要输入密码太繁琐了,可以把Key的保护密码去掉
> openssl rsa -in myserver.key -out server.key.insecure
不同格式证书的转换
# PKCS转换为PEM > openssl pkcs12 -in myserver.pfx -out myserver.pem -nodes
# PEM转换为DER > openssl x509 -outform der -in myserver.pem -out myserver.[der|crt]
# PEM提取KEY
> openssl RSA -in myserver.pem -out myserver.key# DER转换为PEM > openssl x509 -inform der -in myserver.[cer|crt] -out myserver.pem# PEM转换为PKCS > openssl pkcs12 -export -out myserver.pfx -inkey myserver.key -in myserver.pem -certfile ca.crt
测试证书
Openssl提供了简单的client和server工具,可以用来模拟SSL连接,做测试使用。
# 连接到远程服务器> openssl s_client -connect www.google.com.hk:443# 模拟的HTTPS服务,可以返回Openssl相关信息 # -accept 用来指定监听的端口号 # -cert -key 用来指定提供服务的key和证书> openssl s_server -accept 443 -cert myserver.crt -key myserver.key -www# 可以将key和证书写到同一个文件中> cat myserver.crt myserver.key > myserver.pem # 使用的时候只提供一个参数就可以了> openssl s_server -accept 443 -cert myserver.pem -www# 可以将服务器的证书保存下来> openssl s_client -connect www.google.com.hk:443 </dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > remoteserver.pem # 转换成DER文件,就可以在Windows下直接查看了> openssl x509 -outform der -in remoteserver.pem -out remoteserver.cer
计算MD5和SHA1
# MD5 digest > openssl dgst -md5 filename# SHA1 digest > openssl dgst -sha1 filename
https://packetfence.org/doc/PacketFence_MSPKI_Quick_Install_Guide.html#_step_1_install_active_directory_certificate_service_adcs
常用的Java Keytool Keystore命令
https://www.chinassl.net/ssltools/keytool-commands.html
https://docs.oracle.com/cd/E19900-01/820-0847/ablrb/
本文转自Tenderrain 51CTO博客,原文链接:http://blog.51cto.com/tenderrain/1884446,如需转载请自行联系原作者
openssl证书相关相关推荐
- openssl证书及配置
我的环境是:Linux+Apache+MySQL+PHP 1.下载openssl 及相关依赖 #yum install -y openssl 2.进入目录 /etc/pki/tls/certs #cd ...
- PKI与证书相关基本知识
1.PKI体系 PKI/CA与数字证书_J.D.的博客-CSDN博客_pki数字证书 PKI/CA与数字证书_J.D.的博客-CSDN博客_pki数字证书 PKI基础设施:CA,RA,KMC,CRL, ...
- 那些证书相关的玩意儿
之前没接触过证书加密的话,对证书相关的这些概念真是感觉挺棘手的,因为一下子来了一大堆新名词,看起来像是另一个领域的东西,而不是我们所熟悉的编程领域的那些东西,起码我个人感觉如此,且很长时间都没怎么搞懂 ...
- 那些证书相关的玩意儿(SSL,X.509,PEM,DER,CRT,CER,KEY,CSR,P12等)
转自:http://www.cnblogs.com/guogangj/p/4118605.html 之前没接触过证书加密的话,对证书相关的这些概念真是感觉挺棘手的,因为一下子来了一大堆新名词,看起来像 ...
- 证书相关的玩意儿(SSL,X.509,PEM,DER,CRT,CER,KEY,CSR,P12)
之前没接触过证书加密的话,对证书相关的这些概念真是感觉挺棘手的,因为一下子来了一大堆新名词,看起来像是另一个领域的东西,而不是我们所熟悉的编程领域的那些东西,起码我个人感觉如此,且很长时间都没怎么搞懂 ...
- 那些证书相关的玩意儿(SSL,X.509,PEM,DER,CRT,CER,KEY,CSR,P12等)【CSR文件 和 PEM 文件什么区别】
之前没接触过证书加密的话,对证书相关的这些概念真是感觉挺棘手的,因为一下子来了一大堆新名词,看起来像是另一个领域的东西,而不是我们所熟悉的编程领域的那些东西,起码我个人感觉如此,且很长时间都没怎么搞懂 ...
- C++使用OpenSSL证书API
本文主要介绍如果在C++中使用OpenSSL的证书相关API.(基于OpenSSL 1.0.2k版本,不同版本可能API会有一些差异,但大体应该类似) 使用下面方法前,需要全局调用一次(无需多次调用) ...
- Java OpenSsl 证书
整理了X.509格式证书相关的工具类,便于自己学习和使用. 使用的JDK为11.0.2. 加密算法采用SM2(椭圆曲线公钥密码算法,也叫国密算法),加密算法可以根据不同的JDK进行调整.加密类Ciph ...
- 国密证书相关命令行操作
1.双证书签发 先自己生成一个自签名证书代替根证 1.openssl genpkey -algorithm EC -pkeyopt ec_paramgen_curve:sm2 -out rootCA. ...
最新文章
- Mac/Linux/Centos终端中上传文件到Linux云服务器
- 我在看着你呢——shiro学习
- 外汇EA是什么?EA可靠吗?EA有什么缺点?
- stack的常见用法
- 快速掌握阿里云 OSS
- 深究embedding层
- 程序员成功之路 ——The road ahead for programmer(演讲稿)
- 串行接口ping不通自己的原因及深层解析
- python海龟作图不用循环_我用Python告诉老大爷“啥是佩奇”
- 元宇宙”成时下热点 中国古人是如何认识“宇宙”的?
- Mapreduce 跑的慢的原因
- Γ函数及Γ分布,t分布,ϰ分布和费舍尔分布
- 如何与离职员工面谈沟通?
- android go 联发科 p10,联发科P10和高通骁龙435哪个性能强?联发科P10对比高通骁龙435评测...
- 前端实现页面变灰功能(含 Flutter )
- Matlab中cov函数
- Mysql不能备份序列_无法mysqldump
- Linux虚拟机cannot resolve hostname问题
- 1.《把时间当作朋友》——李笑来
- 20克拉默法则、逆矩阵、体积