openssl RSA 密钥(key)、证书签名请求(csr)、证书(cer)的生成和例子

yong15858553432024-09-02 12:19

1. RSA 密钥(key)、证书签名请求(csr)、证书(cer)的生成顺序

2. 具体操作

a. 生成 RSA 密钥(私钥)

bash 复制代码 
openssl genrsa -aes256 -out ca.key 2048

b. 生成证书签名请求(csr)

bash 复制代码 
# C-----国家(Country Name)
# ST----省份(State or Province Name)
# L----城市(Locality Name)
# O----公司(Organization Name)
# OU----部门(Organizational Unit Name)
# CN----产品名(Common Name)
# emailAddress----邮箱(Email Address)
openssl req -new -sha256 -key ca.key -out ca.csr -subj "/C=CN/ST=SD/L=JN/O=QDZY/OU=www.yong.com/CN=CA/emailAddress=yong@163.com"

可选:如果遇到报错:

bash 复制代码 
Enter pass phrase for ca.key:
Can't load /home/swd/.rnd into RNG
139882871017920:error:2406F079:random number generator:RAND_load_file:Cannot open file:../crypto/rand/randfile.c:88:Filename=/home/swd/.rnd

那么执行:

bash 复制代码 
cd /home/swd
openssl rand -writerand .rnd
cd -

c. 生成自签署证书(cer)

bash 复制代码 
openssl x509 -req -days 90 -sha256 -extensions v3_ca -signkey ca.key -in ca.csr -out ca.cer

以上就是生成一个证书的流程

3. 一个案例(生成服务器证书和客户端证书)

(二)生成服务器证书

1、创建服务器私钥

bash 复制代码 
openssl genrsa -aes256 -out server.key 2048

2、请求证书

bash 复制代码 
openssl req -new -sha256 -key server.key -out server.csr -subj "/C=CN/ST=SD/L=JN/O=QDZY/OU=www.test.com/CN=SERVER/emailAddress=yong@163.com"

3、使用CA证书签署服务器证书

bash 复制代码 
openssl x509 -req -days 36500 -sha256 -extensions v3_req -CA ca.cer -CAkey ca.key -CAserial ca.srl -CAcreateserial -in server.csr -out server.cer

(三)生成客户端证书

1、生成客户端私钥

bash 复制代码 
openssl genrsa -aes256 -out client.key 2048

2、申请证书

bash 复制代码 
openssl req -new -sha256 -key client.key -out client.csr -subj "/C=CN/ST=SD/L=JN/O=QDZY/OU=www.test.com/CN=CLIENT/emailAddress=yong@163.com"

3、使用CA证书签署客户端证书

bash 复制代码 
openssl x509 -req -days 36500 -sha256 -extensions v3_req -CA ca.cer -CAkey ca.key -CAserial ca.srl -CAcreateserial -in client.csr -out client.cer

4. TLS 连接测试

a. 单向认证命令行:

服务器:

bash 复制代码 
openssl s_server -CAfile ca.cer -cert server.cer -key server.key -accept 22843

客户端:

bash 复制代码 
openssl s_client -CAfile ca.cer -cert client.cer -key client.key -connect 127.0.0.1 -port 22843

b. 双向认证:

服务器:

bash 复制代码 
openssl s_server -CAfile ca.cer -cert server.cer -key server.key -accept 22843 -Verify 1

客户端:

bash 复制代码 
openssl s_client -CAfile ca.cer -cert server.cer -key server.key -cert client.cer -key client.key -connect 127.0.0.1 -port 22843

5. tcpdump 抓包

我们访问的是 127.0.0.1:22843 ,所以抓包的时候抓的环回接口 lo

输入 tcpdump -i lo tcp -w lo.pcap 抓包后过滤 TCP 流。

5. end

上面就是openssl 关于创建证书以及使用它的例子

相关推荐
van叶~14 分钟前
Linux探秘坊-------4.进度条小程序
linux·运维·小程序
秋风&萧瑟15 分钟前
【数据结构】顺序队列与链式队列
linux·数据结构·windows
我科绝伦(Huanhuan Zhou)22 分钟前
Linux 系统服务开机自启动指导手册
java·linux·服务器
hunter2062062 小时前
ubuntu终端当一段时间内没有程序运行时,自动关闭终端。
linux·chrome·ubuntu
代码讲故事4 小时前
从Windows通过XRDP远程访问和控制银河麒麟ukey v10服务器,以及多次连接后黑屏的问题
linux·运维·服务器·windows·远程连接·远程桌面·xrdp
qq_243050796 小时前
irpas:互联网路由协议攻击套件!全参数详细教程!Kali Linux入门教程!黑客渗透测试!
linux·网络·web安全·网络安全·黑客·渗透测试·系统安全
IT北辰7 小时前
Linux下 date时间应该与系统的 RTC(硬件时钟)同步
linux·运维·实时音视频
Jason Yan7 小时前
【经验分享】ARM Linux-RT内核实时系统性能评估工具
linux·arm开发·经验分享
步、步、为营8 小时前
.net无运行时发布原理
linux·服务器·.net
等一场春雨8 小时前
CentOS 安装Redis
linux·redis·centos
热门推荐
01xgboost: Why not implement distributed XGBoost on top of spark02Dell服务器升级ubuntu 22.04失败解决03半导体应用系统一些小知识收集(strip&wafer mapping,EAP&scada)04ChatGPT + Stable Diffusion + 百度AI + MoviePy 实现文字生成视频,小说转视频,自媒体神器!(二)05(欧拉)openEuler系统添加网卡文件配置流程、(欧拉)openEuler系统手动配置ipv6地址流程、(欧拉)openEuler系统网络管理说明06密码学原理技术-第六章-introduction to pulibc-key cryptography07JS设计模式之中介者模式08Windows10安装PCL1.14.0及点云配准09优化手机性能,解决卡顿问题:关闭这3个微信开关,释放内存空间10leetcode - 1769. Minimum Number of Operations to Move All Balls to Each Box