查看證書
# 查看KEY信息
> openssl rsa -noout -text -in myserver.key
# 查看CSR信息
> openssl req -noout -text -in myserver.csr
# 查看證書信息
> openssl x509 -noout -text -in ca.crt
# 驗證證書
# 會提示self signed
> openssl verify selfsign.crt
# 因為myserver.crt 是幅ca.crt發布的,所以會驗證成功
> openssl verify -CAfile ca.crt myserver.crt
去掉key的密碼保護
有時候每次都要輸入密碼太繁瑣了,可以把Key的保護密碼去掉
> openssl rsa -in myserver.key -out server.key.insecure
不同格式證書的轉換
一般證書有三種格式:
PEM(.pem) 前面命令生成的都是這種格式,
DER(.cer .der) Windows 上常見
PKCS#12文件(.pfx .p12) Mac上常見
# PEM轉換為DER
> openssl x509 -outform der -in myserver.crt -out myserver.der
# DER轉換為PEM
> openssl x509 -inform der -in myserver.cer -out myserver.pem
# PEM轉換為PKCS
> openssl pkcs12 -export -out myserver.pfx -inkey myserver.key -in myserver.crt -certfile ca.crt
# PKCS轉換為PEM
> openssl pkcs12 -in myserver.pfx -out myserver2.pem -nodes
測試證書
Openssl提供了簡單的client和server工具,可以用來模擬SSL連接,做測試使用。
# 連接到遠程服務器
> openssl s_client -connect www.google.com.hk:443
# 模擬的HTTPS服務,可以返回Openssl相關信息
# -accept 用來指定監聽的端口號
# -cert -key 用來指定提供服務的key和證書
> openssl s_server -accept 443 -cert myserver.crt -key myserver.key -www
# 可以將key和證書寫到同一個文件中
> cat myserver.crt myserver.key > myserver.pem
# 使用的時候只提供一個參數就可以了
> openssl s_server -accept 443 -cert myserver.pem -www
# 可以將服務器的證書保存下來
> openssl s_client -connect www.google.com.hk:443 remoteserver.pem
# 轉換成DER文件,就可以在Windows下直接查看了
> openssl x509 -outform der -in remoteserver.pem -out remoteserver.cer
計算MD5和SHA1
# MD5 digest
> openssl dgst -md5 filename
# SHA1 digest
> openssl dgst -sha1 filename
作者:liang_echo
鏈接:https://www.jianshu.com/p/f5f93c89155e
來源:簡書
著作權歸作者所有。商業轉載請聯系作者獲得授權,非商業轉載請注明出處。