openssl RSA 密钥(key)、证书签名请求(csr)、证书(cer)的生成和例子

yong15858553432024-09-02 12:19

1. RSA 密钥(key)、证书签名请求(csr)、证书(cer)的生成顺序

2. 具体操作

a. 生成 RSA 密钥(私钥)

bash 复制代码 
openssl genrsa -aes256 -out ca.key 2048

b. 生成证书签名请求(csr)

bash 复制代码 
# C-----国家(Country Name)
# ST----省份(State or Province Name)
# L----城市(Locality Name)
# O----公司(Organization Name)
# OU----部门(Organizational Unit Name)
# CN----产品名(Common Name)
# emailAddress----邮箱(Email Address)
openssl req -new -sha256 -key ca.key -out ca.csr -subj "/C=CN/ST=SD/L=JN/O=QDZY/OU=www.yong.com/CN=CA/emailAddress=yong@163.com"

可选:如果遇到报错:

bash 复制代码 
Enter pass phrase for ca.key:
Can't load /home/swd/.rnd into RNG
139882871017920:error:2406F079:random number generator:RAND_load_file:Cannot open file:../crypto/rand/randfile.c:88:Filename=/home/swd/.rnd

那么执行:

bash 复制代码 
cd /home/swd
openssl rand -writerand .rnd
cd -

c. 生成自签署证书(cer)

bash 复制代码 
openssl x509 -req -days 90 -sha256 -extensions v3_ca -signkey ca.key -in ca.csr -out ca.cer

以上就是生成一个证书的流程

3. 一个案例(生成服务器证书和客户端证书)

(二)生成服务器证书

1、创建服务器私钥

bash 复制代码 
openssl genrsa -aes256 -out server.key 2048

2、请求证书

bash 复制代码 
openssl req -new -sha256 -key server.key -out server.csr -subj "/C=CN/ST=SD/L=JN/O=QDZY/OU=www.test.com/CN=SERVER/emailAddress=yong@163.com"

3、使用CA证书签署服务器证书

bash 复制代码 
openssl x509 -req -days 36500 -sha256 -extensions v3_req -CA ca.cer -CAkey ca.key -CAserial ca.srl -CAcreateserial -in server.csr -out server.cer

(三)生成客户端证书

1、生成客户端私钥

bash 复制代码 
openssl genrsa -aes256 -out client.key 2048

2、申请证书

bash 复制代码 
openssl req -new -sha256 -key client.key -out client.csr -subj "/C=CN/ST=SD/L=JN/O=QDZY/OU=www.test.com/CN=CLIENT/emailAddress=yong@163.com"

3、使用CA证书签署客户端证书

bash 复制代码 
openssl x509 -req -days 36500 -sha256 -extensions v3_req -CA ca.cer -CAkey ca.key -CAserial ca.srl -CAcreateserial -in client.csr -out client.cer

4. TLS 连接测试

a. 单向认证命令行:

服务器:

bash 复制代码 
openssl s_server -CAfile ca.cer -cert server.cer -key server.key -accept 22843

客户端:

bash 复制代码 
openssl s_client -CAfile ca.cer -cert client.cer -key client.key -connect 127.0.0.1 -port 22843

b. 双向认证:

服务器:

bash 复制代码 
openssl s_server -CAfile ca.cer -cert server.cer -key server.key -accept 22843 -Verify 1

客户端:

bash 复制代码 
openssl s_client -CAfile ca.cer -cert server.cer -key server.key -cert client.cer -key client.key -connect 127.0.0.1 -port 22843

5. tcpdump 抓包

我们访问的是 127.0.0.1:22843 ,所以抓包的时候抓的环回接口 lo

输入 tcpdump -i lo tcp -w lo.pcap 抓包后过滤 TCP 流。

5. end

上面就是openssl 关于创建证书以及使用它的例子

相关推荐
小猫咪0118 小时前
Linux 定时任务 crontab 详解:让脚本每天自动执行
linux·运维·服务器
jcbut18 小时前
在Linux 7.9上安装NetBackup IT Analytics (ITA) 11.2
linux·运维·netbackup·it analytics·ita
云川之下18 小时前
【linux】免密登录
linux·免密
kaka❷❷18 小时前
Linux 内核、.ko、.so 与 SDK 镜像打包
linux·运维·服务器
微风◝18 小时前
【Linux故障排查】系统启动进入紧急模式:由磁盘挂载超时引发的服务器无法启动
linux·运维·服务器
闲猫18 小时前
堡垒机Linux黑屏识别命令Set -n探索可能性
linux·运维·服务器
寺中人18 小时前
基于Linux实现SSH密钥免密登录完整实战教程(CentOS/Ubuntu通用)
linux·ssh·免密登录·服务器运维·ssh-keygen
有想法的py工程师18 小时前
手工处理 Oracle Cloud ARM 实例在线 DD Rocky Linux 10报错
linux·arm开发·oracle
万粉变现经纪人18 小时前
2026最新Windows11系统CMD安装Claude Code 快速接入DeepSeek V4 Pro在VSCode编程工具中使用保姆级入门教程指南
linux·运维·ide·windows·vscode·macos·编辑器
wxmtwfx19 小时前
Linux 系统内核列表宏解析
linux·list·列表
热门推荐
01GitHub 镜像站点02Codex 下载安装指南:Windows 和 macOS 官方版下载03【AI】2026 年具身智能模型和世界模型总结042026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf05Codex 桌面端更新后 Chrome 插件和 Computer Use 不可用,怎么排查和修复06【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法07CC-Switch 下载、安装与使用配置指南【2026.5.29】08Codex 接入 DeepSeek API 完整配置文档09CC-Switch & Claude 基于 Linux 服务器安装使用指南10裂开!ChatGPT 居然开始要手机号验证,附详细解决方法