申請證書
SSL常用於身份驗證、數據加密等應用中,要使用SSL,我們密碼有自己的證書。數字證書一般要向專業的認證公司(如VeriSign)申請,並且都是收費的,某些情況下,我們只是想使用加密的數據通信,而不在乎認證,這時就可以自己制作一個證書,自己制作一個證書,有兩種方式,一種是Self Signed,另一種是自己制作一個CA,然后由這個CA,來發布我們需要的證書。下面分別介紹這兩個方法。
生成Self Signed證書
# 生成一個key,你的私鑰,openssl會提示你輸入一個密碼,可以輸入,也可以不輸, # 輸入的話,以后每次使用這個key的時候都要輸入密碼,安全起見,還是應該有一個密碼保護 > openssl genrsa -des3 -out selfsign.key 4096 # 使用上面生成的key,生成一個certificate signing request (CSR) # 如果你的key有密碼保護,openssl首先會詢問你的密碼,然后詢問你一系列問題, # 其中Common Name(CN)是最重要的,它代表你的證書要代表的目標,如果你為網站申請的證書,就要添你的域名。 > openssl req -new -key selfsign.key -out selfsign.csr # 生成Self Signed證書 selfsign.crt就是我們生成的證書了 > openssl x509 -req -days 365 -in selfsign.csr -signkey selfsign.key -out selfsign.crt # 另外一個比較簡單的方法就是用下面的命令,一次生成key和證書 > openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout privateKey.key -out certificate.crt
生成自己的CA (Certificate Authority)
CA是證書的發布者,CA可以發布其他人的證書,把CA的證書加入系統信任的根證書后,由CA發布的證書也被系統所信任,所以,CA的key是必須小心保護的,一般都要加密保護,並且限制為root權限讀寫。
# 生成CA的key > openssl genrsa -des3 -out ca.key 4096 # 生成CA的證書 > openssl req -new -x509 -days 365 -key ca.key -out ca.crt # 生成我們的key和CSR這兩步與上面Self Signed中是一樣的 > openssl genrsa -des3 -out myserver.key 4096 > openssl req -new -key myserver.key -out myserver.csr # 使用ca的證書和key,生成我們的證書 # 這里的set_serial指明了證書的序號,如果證書過期了(365天后), # 或者證書key泄漏了,需要重新發證的時候,就要加1 > openssl x509 -req -days 365 -in myserver.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out myserver.crt
查看證書
# 查看KEY信息 > openssl rsa -noout -text -in myserver.key # 查看CSR信息 > openssl req -noout -text -in myserver.csr # 查看證書信息 > openssl x509 -noout -text -in ca.crt # 驗證證書 # 會提示self signed > openssl verify selfsign.crt # 因為myserver.crt 是幅ca.crt發布的,所以會驗證成功 > openssl verify -CAfile ca.crt myserver.crt
去掉key的密碼保護
有時候每次都要輸入密碼太繁瑣了,可以把Key的保護密碼去掉
> openssl rsa -in myserver.key -out server.key.insecure
不同格式證書的轉換
一般證書有三種格式:
- PEM(.pem) 前面命令生成的都是這種格式,
- DER(.cer .der) Windows 上常見
- PKCS#12文件(.pfx .p12) Mac上常見
# PEM轉換為DER > openssl x509 -outform der -in myserver.crt -out myserver.der # DER轉換為PEM > openssl x509 -inform der -in myserver.cer -out myserver.pem # PEM轉換為PKCS > openssl pkcs12 -export -out myserver.pfx -inkey myserver.key -in myserver.crt -certfile ca.crt # PKCS轉換為PEM > openssl pkcs12 -in myserver.pfx -out myserver2.pem -nodes
測試證書
Openssl提供了簡單的client和server工具,可以用來模擬SSL連接,做測試使用。
# 連接到遠程服務器 > openssl s_client -connect www.google.com.hk:443 # 模擬的HTTPS服務,可以返回Openssl相關信息 # -accept 用來指定監聽的端口號 # -cert -key 用來指定提供服務的key和證書 > openssl s_server -accept 443 -cert myserver.crt -key myserver.key -www # 可以將key和證書寫到同一個文件中 > cat myserver.crt myserver.key > myserver.pem # 使用的時候只提供一個參數就可以了 > openssl s_server -accept 443 -cert myserver.pem -www # 可以將服務器的證書保存下來 > openssl s_client -connect www.google.com.hk:443 </dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > remoteserver.pem # 轉換成DER文件,就可以在Windows下直接查看了 > openssl x509 -outform der -in remoteserver.pem -out remoteserver.cer
計算MD5和SHA1
# MD5 digest > openssl dgst -md5 filename # SHA1 digest > openssl dgst -sha1 filename