OpenSSL 是一个功能强大的开源工具包,用于处理各种与加密相关的任务,包括生成密钥、创建证书、加密解密数据、验证证书等。以下是 OpenSSL 的主要功能及其示例命令。
1.生成密钥
1.1 生成 RSA 私钥
openssl genrsa -out private_key.pem 2048
• 说明:生成一个 2048 位的 RSA 私钥,并保存到private_key.pem文件中。
1.2 从私钥提取公钥
openssl rsa -in private_key.pem -pubout -out public_key.pem
• 说明:从私钥文件中提取公钥,并保存到public_key.pem文件中。
2.生成自签名证书
2.1 生成自签名证书
openssl req -x509 -new -key private_key.pem -out certificate.pem -days 365
• 说明:使用私钥生成一个自签名的 X.509 证书,有效期为 365 天,保存到certificate.pem文件中。
2.2 生成证书签名请求(CSR)
openssl req -new -key private_key.pem -out csr.pem
• 说明:生成一个证书签名请求(CSR),保存到csr.pem文件中。CSR 可以提交给证书颁发机构(CA)以获取签名证书。
3.验证证书
3.1 验证证书
openssl x509 -in certificate.pem -text -noout
• 说明:查看证书的详细信息,包括主题、有效期、颁发者等。
3.2 验证证书链
openssl verify -CAfile ca_certificate.pem certificate.pem
• 说明:验证certificate.pem是否由ca_certificate.pem颁发。
4.加密和解密
4.1 使用公钥加密数据
openssl rsautl -encrypt -pubin -inkey public_key.pem -in plaintext.txt -out encrypted.bin
• 说明:使用公钥对plaintext.txt文件进行加密,生成加密后的二进制文件encrypted.bin。
4.2 使用私钥解密数据
openssl rsautl -decrypt -inkey private_key.pem -in encrypted.bin -out decrypted.txt
• 说明:使用私钥对encrypted.bin文件进行解密,生成解密后的文件decrypted.txt。
5.生成和管理证书颁发机构(CA)
5.1 创建 CA 证书
openssl genrsa -out ca_private_key.pem 2048
openssl req -x509 -new -key ca_private_key.pem -out ca_certificate.pem -days 3650
• 说明:生成一个 CA 私钥和自签名的 CA 证书,有效期为 3650 天。
5.2 签署证书请求
openssl x509 -req -in csr.pem -CA ca_certificate.pem -CAkey ca_private_key.pem -CAcreateserial -out signed_certificate.pem -days 365
• 说明:使用 CA 证书和私钥签署一个证书签名请求(CSR),生成签名后的证书signed_certificate.pem。
6.创建和管理密钥库(PKCS#12)
6.1 创建 PKCS#12 密钥库
openssl pkcs12 -export -out keystore.p12 -inkey private_key.pem -in certificate.pem
• 说明:将私钥和证书打包到一个 PKCS#12 密钥库文件keystore.p12中。
6.2 从 PKCS#12 密钥库提取私钥和证书
openssl pkcs12 -in keystore.p12 -out extracted_private_key.pem -nocerts
openssl pkcs12 -in keystore.p12 -out extracted_certificate.pem -nokeys
• 说明:从 PKCS#12 密钥库中提取私钥和证书。
7.生成 Diffie-Hellman 参数
7.1 生成 DH 参数
openssl dhparam -out dhparams.pem 2048
• 说明:生成 2048 位的 Diffie-Hellman 参数,保存到dhparams.pem文件中。
8.生成和管理椭圆曲线密钥
8.1 生成椭圆曲线密钥
openssl ecparam -genkey -name prime256v1 -out ecdsa_private_key.pem
• 说明:生成一个椭圆曲线密钥,使用prime256v1曲线,保存到ecdsa_private_key.pem文件中。
8.2 提取椭圆曲线公钥
openssl ec -in ecdsa_private_key.pem -pubout -out ecdsa_public_key.pem
• 说明:从椭圆曲线私钥文件中提取公钥,保存到ecdsa_public_key.pem文件中。
9.生成和管理证书吊销列表(CRL)
9.1 创建 CRL
openssl ca -gencrl -out crl.pem -config openssl.cnf
• 说明:生成一个证书吊销列表(CRL),保存到crl.pem文件中。需要一个openssl.cnf配置文件。
10.其他常用命令
10.1 查看私钥信息
openssl rsa -in private_key.pem -check
• 说明:检查私钥文件的完整性和详细信息。
10.2 查看公钥信息
openssl rsa -pubin -in public_key.pem -check
• 说明:检查公钥文件的完整性和详细信息。
10.3 查看 CSR 信息
openssl req -in csr.pem -text -noout
• 说明:查看证书签名请求(CSR)的详细信息。
10.4 查看密钥库信息
openssl pkcs12 -info -in keystore.p12
• 说明:查看 PKCS#12 密钥库文件的详细信息。
总结
OpenSSL 是一个功能强大的工具,涵盖了从密钥生成、证书管理到数据加密解密的各个方面。通过上述命令,你可以完成大多数与加密相关的任务。如果你有特定的需求或遇到问题,可以参考 OpenSSL 的官方文档或社区支持。
