一、簡介
openssl命令集充分體現了unix編程的KISS精神——每個命令的功能都簡單而且獨立,通過腳本語言將其組合在一起就能實現強大的功能。
這里只簡單介紹一些我們常用的命令,各個命令的詳細幫助可以查閱對應的manpages,
二、常用功能
1)生成CA和證書
# to create RSA Certificate openssl genrsa -des -passout pass:"123456" -out rsa_ca_prikey.key 1024 openssl req -config caOpenssl.cnf -key rsa_ca_prikey.key -passin pass:"123456" -new -out rsa_ca_cert.req openssl x509 -req -in rsa_ca_cert.req -signkey rsa_ca_prikey.key -passin pass:"123456" -out rsa_ca_cert.pem openssl genrsa -des -passout pass:"123456" -out rsa_site_prikey.key 1024 openssl req -config siteOpenssl.cnf -key rsa_site_prikey.key -passin pass:"123456" -new -out rsa_site_cert.req openssl x509 -req -in rsa_site_cert.req -CA rsa_ca_cert.pem -CAkey rsa_ca_prikey.key -passin pass:"123456" -out rsa_site_cert.pem -CAcreateserial # to create ECC Certificate openssl ecparam -genkey -name prime256v1 -out ecc_ca_prikey.key openssl req -config caOpenssl.cnf -key ecc_ca_prikey.key -new -out ecc_ca_cert.req openssl x509 -req -in ecc_ca_cert.req -signkey ecc_ca_prikey.key -out ecc_ca_cert.pem openssl ecparam -genkey -name prime256v1 -out ecc_site_prikey.key openssl req -config siteOpenssl.cnf -key ecc_site_prikey.key -new -out ecc_site_cert.req openssl x509 -req -in ecc_site_cert.req -CA ecc_ca_cert.pem -CAkey ecc_ca_prikey.key -out ecc_site_cert.pem -CAcreateserial # to create DSA Certificate openssl dsaparam -genkey 512 -out dsa_ca_prikey.key openssl req -config caOpenssl.cnf -key dsa_ca_prikey.key -new -out dsa_ca_cert.req openssl x509 -req -in dsa_ca_cert.req -signkey dsa_ca_prikey.key -out dsa_ca_cert.pem openssl dsaparam -genkey 512 -out dsa_site_prikey.key openssl req -config siteOpenssl.cnf -key dsa_site_prikey.key -new -out dsa_site_cert.req openssl x509 -req -in dsa_site_cert.req -CA dsa_ca_cert.pem -CAkey dsa_ca_prikey.key -out dsa_site_cert.pem -CAcreateserial
2)查看證書
# 查看KEY信息 $ openssl rsa -noout -text -in myserver.key # 查看CSR信息 $ openssl req -noout -text -in myserver.csr # 查看證書信息 $ openssl x509 -noout -text -in ca.pem # 查看證書公鑰對應的RSA模 $ openssl x509 -in mysite.pem -noout -modulus # 查看證書subject項
$ openssl x509 -in mysite.pem -noout -subject -nameopt multiline # 查看證書issuer項
$ openssl x509 -in mysite.pem -noout -issuer -nameopt multiline # 檢查證書用途 $ openssl x509 -purpose -noout -in 192.168.200.7.cer
3)驗證證書
# 會提示self signed
$ openssl verify ca_cert.pem
# 因為myserver.crt 是幅ca.crt發布的,所以會驗證成功
$ openssl verify -CAfile ca_cert.pem site_cert.pem
4)格式轉換
# PKCS轉換為PEM
> openssl pkcs12 -in myserver.pfx -out myserver.pem -nodes
# PEM轉換為DER
> openssl x509 -outform der -in myserver.pem -out myserver.[der|crt]
# PEM提取KEY
> openssl RSA -in myserver.pem -out myserver.key
# DER轉換為PEM
> openssl x509 -inform der -in myserver.[cer|crt] -out myserver.pem
# PEM轉換為PKCS
> openssl pkcs12 -export -inkey myserver.key -in myserver.pem -out myserver.pfx -certfile ca.crt
> openssl pkcs12 -export -inkey www.mysite.com.key -in www.mysite.com.pem -passin pass:123456 -passout pass:123456 -out www.mysite.com.p12
5)去掉key的密碼保護
7、測試證書
Openssl提供了簡單的client和server工具,可以用來模擬SSL連接,做測試使用。
# 連接到遠程服務器 > openssl s_client -connect www.google.com.hk:443 # 模擬的HTTPS服務,可以返回Openssl相關信息 # -accept 用來指定監聽的端口號 # -cert -key 用來指定提供服務的key和證書 > openssl s_server -accept 443 -cert myserver.crt -key myserver.key -www # 可以將key和證書寫到同一個文件中 > cat myserver.crt myserver.key > myserver.pem # 使用的時候只提供一個參數就可以了 > openssl s_server -accept 443 -cert myserver.pem -www # 可以將服務器的證書保存下來 > openssl s_client -connect www.google.com.hk:443 </dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > remoteserver.pem # 轉換成DER文件,就可以在Windows下直接查看了 > openssl x509 -outform der -in remoteserver.pem -out remoteserver.cer
8、計算MD5和SHA1
# MD5 digest > openssl dgst -md5 filename # SHA1 digest > openssl dgst -sha1 filename