openssl RSA 密钥(key)、证书签名请求(csr)、证书(cer)的生成和例子

yong15858553432024-09-02 12:19

1. RSA 密钥(key)、证书签名请求(csr)、证书(cer)的生成顺序

2. 具体操作

a. 生成 RSA 密钥(私钥)

bash 复制代码 
openssl genrsa -aes256 -out ca.key 2048

b. 生成证书签名请求(csr)

bash 复制代码 
# C-----国家(Country Name)
# ST----省份(State or Province Name)
# L----城市(Locality Name)
# O----公司(Organization Name)
# OU----部门(Organizational Unit Name)
# CN----产品名(Common Name)
# emailAddress----邮箱(Email Address)
openssl req -new -sha256 -key ca.key -out ca.csr -subj "/C=CN/ST=SD/L=JN/O=QDZY/OU=www.yong.com/CN=CA/emailAddress=yong@163.com"

可选:如果遇到报错:

bash 复制代码 
Enter pass phrase for ca.key:
Can't load /home/swd/.rnd into RNG
139882871017920:error:2406F079:random number generator:RAND_load_file:Cannot open file:../crypto/rand/randfile.c:88:Filename=/home/swd/.rnd

那么执行:

bash 复制代码 
cd /home/swd
openssl rand -writerand .rnd
cd -

c. 生成自签署证书(cer)

bash 复制代码 
openssl x509 -req -days 90 -sha256 -extensions v3_ca -signkey ca.key -in ca.csr -out ca.cer

以上就是生成一个证书的流程

3. 一个案例(生成服务器证书和客户端证书)

(二)生成服务器证书

1、创建服务器私钥

bash 复制代码 
openssl genrsa -aes256 -out server.key 2048

2、请求证书

bash 复制代码 
openssl req -new -sha256 -key server.key -out server.csr -subj "/C=CN/ST=SD/L=JN/O=QDZY/OU=www.test.com/CN=SERVER/emailAddress=yong@163.com"

3、使用CA证书签署服务器证书

bash 复制代码 
openssl x509 -req -days 36500 -sha256 -extensions v3_req -CA ca.cer -CAkey ca.key -CAserial ca.srl -CAcreateserial -in server.csr -out server.cer

(三)生成客户端证书

1、生成客户端私钥

bash 复制代码 
openssl genrsa -aes256 -out client.key 2048

2、申请证书

bash 复制代码 
openssl req -new -sha256 -key client.key -out client.csr -subj "/C=CN/ST=SD/L=JN/O=QDZY/OU=www.test.com/CN=CLIENT/emailAddress=yong@163.com"

3、使用CA证书签署客户端证书

bash 复制代码 
openssl x509 -req -days 36500 -sha256 -extensions v3_req -CA ca.cer -CAkey ca.key -CAserial ca.srl -CAcreateserial -in client.csr -out client.cer

4. TLS 连接测试

a. 单向认证命令行:

服务器:

bash 复制代码 
openssl s_server -CAfile ca.cer -cert server.cer -key server.key -accept 22843

客户端:

bash 复制代码 
openssl s_client -CAfile ca.cer -cert client.cer -key client.key -connect 127.0.0.1 -port 22843

b. 双向认证:

服务器:

bash 复制代码 
openssl s_server -CAfile ca.cer -cert server.cer -key server.key -accept 22843 -Verify 1

客户端:

bash 复制代码 
openssl s_client -CAfile ca.cer -cert server.cer -key server.key -cert client.cer -key client.key -connect 127.0.0.1 -port 22843

5. tcpdump 抓包

我们访问的是 127.0.0.1:22843 ,所以抓包的时候抓的环回接口 lo

输入 tcpdump -i lo tcp -w lo.pcap 抓包后过滤 TCP 流。

5. end

上面就是openssl 关于创建证书以及使用它的例子

相关推荐
wljy15 小时前
二、进制状态转换
linux·运维·服务器·c语言·c++
week@eight5 小时前
Linux - Doris
linux·运维·数据库·mysql
平行云5 小时前
实时云渲染预启动技术解析:UE数字孪生应用的延迟优化机制(二)
linux·unity·ue5·webgl·实时云渲染·云桌面·像素流
看到代码头都是大的6 小时前
CentOS环境下手动升级openssl、openssh
linux·运维·centos
浮生若城6 小时前
Linux——Ext系列文件系统
linux·运维·服务器
枳实-叶6 小时前
【Linux驱动开发】第16天:按键中断完整实战
linux·运维·驱动开发
杨云龙UP7 小时前
Oracle Recycle Bin 回收站详解:DROP TABLE 后还能找回吗?
linux·运维·数据库·sql·mysql·oracle
又熟了9 小时前
乌班图Ubuntu安装
linux·运维·ubuntu
Cat_Rocky9 小时前
Linux-ansible之Playbook简单应用
linux·网络·ansible
Do_GH9 小时前
【Linux】09.WSL+SVN部署操作说明
linux·运维·svn
热门推荐
01GitHub 镜像站点02DeepSeek V4 + Claude Code thinking mode 400 错误修复方案03【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法04Codex 接入 DeepSeek API 完整配置文档05【AI】2026 年具身智能模型和世界模型总结06裂开!ChatGPT 居然开始要手机号验证,附详细解决方法07CC-Switch & Claude 基于 Linux 服务器安装使用指南08CC-Switch 全平台下载、安装与使用全指南(Windows/macOS/Linux)092026年AI编程工具终极横评:Cursor vs Claude Code vs Copilot10OpenAI Codex Desktop App 保姆级安装教程(Windows / Mac)