OpenSSL 常见用法与命令输出解析

颇有几分姿色2025-01-01 21:46

1. OpenSSL 常见用法

1.1 查看 OpenSSL 版本

bash 复制代码 
openssl version

输出示例:

plain 复制代码 
OpenSSL 1.1.1k  25 Mar 2021
  • 用途:
    • 检查当前安装的 OpenSSL 版本。
    • 确保使用的是支持现代协议(如 TLS 1.3)的版本。

1.2 生成密钥

生成一个 2048 位的 RSA 私钥,存储在 rsa.key 文件中。

bash 复制代码 
openssl genrsa -out rsa.key 2048

使用 prime256v1 椭圆曲线生成一个 ECC 私钥。

bash 复制代码 
openssl ecparam -genkey -name prime256v1 -out ecc.key

从rsa私钥中提取公钥。

bash 复制代码 
openssl rsa -in rsa.key -pubout -out rsapublic.key

从ecc私钥中提取公钥。

bash 复制代码 
openssl ec -in ecc.key -pubout -out eccpublic.key

1.3 生成证书请求(CSR)

bash 复制代码 
openssl req -new -key private.key -out request.csr

交互式输入

创建一个证书签名请求(CSR),供 CA 签署生成证书,OpenSSL 会提示输入一些证书信息,例如:

plain 复制代码 
Country Name (C): CN
State or Province Name (ST): GuangDong
Locality Name (L): GuangDong
Organization Name (O): My Company
Organizational Unit Name (OU): IT
Common Name (CN): www.example.com
Email Address: [email protected]

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

1.4 自签名证书

使用已有私钥生成证书。

bash 复制代码 
openssl req -x509 -new -key rsa.key -out cert.pem -days 365
  • 输出描述:
    • 使用私钥生成一个有效期为 365 天的自签名证书。
    • 自签名证书可用于测试环境,不适合生产环境。

同时生成私钥和证书。

bash 复制代码 
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
    -keyout /etc/nginx/ssl/nginx.key \
    -out /etc/nginx/ssl/nginx.crt

生成一个新的 2048 位 RSA 私钥和一个自签名证书,分别存储在 /etc/nginx/ssl/nginx.key/etc/nginx/ssl/nginx.crt,适用于快速配置 Nginx 等 Web 服务。

1.5 检查证书信息

查看证书有效期。

bash 复制代码 
openssl x509 -in cert.pem -noout -dates

输出示例:

plain 复制代码 
notBefore=Aug 26 09:48:09 2020 GMT
notAfter=Aug 24 09:48:09 2030 GMT

查看证书详细信息,包括颁发者(Issuer)、有效期(Validity)、签名算法、公共名(CN)等。

bash 复制代码 
openssl x509 -in cert.pem -text -noout

输出示例:

plain 复制代码 
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            cd:f7:04:32:6e:c5:3b:3b
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=XX, L=Default City, O=Default Company Ltd
        Validity
            Not Before: Dec 26 05:49:08 2024 GMT
            Not After : Dec 26 05:49:08 2025 GMT
        Subject: C=XX, L=Default City, O=Default Company Ltd
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
        ...

1.6 测试 HTTPS 连接

测试服务器的 HTTPS 配置。

bash 复制代码 
openssl s_client -connect www.example.com:443

输出示例:

plain 复制代码 
CONNECTED(00000003)
depth=2 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert Global Root G2
verify return:1
depth=1 C = US, O = DigiCert Inc, CN = DigiCert Global G2 TLS RSA SHA256 2020 CA1
verify return:1
depth=0 C = US, ST = California, L = Los Angeles, O = Internet\C2\A0Corporation\C2\A0for\C2\A0Assigned\C2\A0Names\C2\A0and\C2\A0Numbers, CN = www.example.org
verify return:1
---
Certificate chain
 0 s:/C=US/ST=California/L=Los Angeles/O=Internet\xC2\xA0Corporation\xC2\xA0for\xC2\xA0Assigned\xC2\xA0Names\xC2\xA0and\xC2\xA0Numbers/CN=www.example.org
   i:/C=US/O=DigiCert Inc/CN=DigiCert Global G2 TLS RSA SHA256 2020 CA1
 1 s:/C=US/O=DigiCert Inc/CN=DigiCert Global G2 TLS RSA SHA256 2020 CA1
   i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert Global Root G2
---
  • depth=0 表示服务器的证书。
  • verify return:1 表示证书验证成功。
  • Certificate chain 显示证书链的各级证书。

2. 常见命令输出解析

2.1 自签名证书错误

plain 复制代码 
verify error:num=18:self signed certificate
verify return:1
  • 解析:
    • num=18 表示证书是自签名的,没有可信的 CA 签署。
    • 生产环境中须更换为由可信 CA 签署的证书。

2.2 证书过期错误

bash 复制代码 
verify error:num=10:certificate has expired
  • 解析:
    • num=10 表示证书已过期。
    • 解决方法:更新证书或检查服务器时间是否正确。

2.3 中间人攻击可能性

如果证书的颁发者(Issuer)是未知组织或设备(如 WAF、代理),则可能存在中间人攻击风险。可以通过以下命令检查:

bash 复制代码 
openssl s_client -connect www.example.com:443 | openssl x509 -noout -issuer

2.4 证书链不完整

plain 复制代码 
verify error:num=21:unable to verify the first certificate
  • 解析:
    • num=21 表示证书链不完整,可能缺少中间证书。
    • 解决方法:检查服务器证书配置,确保完整的证书链(包括中间证书和根证书)。

3. OpenSSL 加密与解密

3.1 使用对称加密

使用 AES-256-CBC 算法加密和解密文件。

加密:

bash 复制代码 
openssl enc -aes-256-cbc -salt -in test.txt -out entest.txt

解密:

bash 复制代码 
openssl enc -d -aes-256-cbc -in entest.txt -out detest.txt

3.2 使用 RSA 加密

使用 RSA 公钥加密和私钥解密。

加密:

bash 复制代码 
openssl rsautl -encrypt -inkey public.key -pubin -in plaintext.txt -out encrypted.txt

解密:

bash 复制代码 
openssl rsautl -decrypt -inkey private.key -in encrypted.txt -out decrypted.txt

4. OpenSSL 常见问题与解决方法

4.1 如何解决自签名证书问题?

方法 1:忽略自签名证书错误(仅用于测试):

bash 复制代码 
openssl s_client -connect example.com:443 -verify_return_error

方法 2:将自签名证书导入信任存储:

bash 复制代码 
openssl s_client -connect example.com:443 -showcerts > server_cert.pem

4.2 如何验证证书链?

命令格式:

bash 复制代码 
openssl verify -CAfile <CA_certificate> <target_certificate>
  • -CAfile <CA_certificate>:指定信任的根 CA 或中间 CA 证书文件,用于验证目标证书签名的合法性。
  • <target_certificate>:指定需要验证的目标证书文件。

自签名证书验证:

bash 复制代码 
openssl verify -CAfile cert.pem cert.pem

如果返回 OK,表示证书链完整。

相关推荐
leo·Thomas4 小时前
IPv4 地址嵌入 IPv6 的前缀转换方式详解
网络协议·ipv6
诗意地回家6 小时前
Ubuntu nginx 配置 SSL 证书支持 https 请求
nginx·ubuntu·ssl
老王笔记6 小时前
MySQL迁移SSL报错
ssl
00后程序员张7 小时前
响应式架构下的调试挑战:WebDebugX 如何帮助前端稳住场面?
websocket·网络协议·tcp/ip·http·网络安全·https·udp
ip小哥7 小时前
我的爬虫夜未眠:一场与IP限流的攻防战
爬虫·网络协议·tcp/ip
hgdlip7 小时前
如何重新设置网络ip地址?全面解析多种方法
网络·网络协议·tcp/ip
前进的程序员9 小时前
FTP 协议介绍与 C 语言开发案例
网络协议·ftp
网安小Q10 小时前
kali工具集-sslscan安全检测与HTTPS服务器部署实践
linux·网络安全·https
Hello.Reader10 小时前
零基础弄懂 ngx_http_slice_module分片缓存加速
网络协议·http·缓存
源远流长jerry10 小时前
计算机网络相关面试题
chrome·网络协议·http·tcp
热门推荐
01KGG转MP3工具|非KGM文件|解密音频02从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑03YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】04【SpeedAI科研小助手】2分钟极速解决知网维普重复率、AIGC率过高,一键全文降!文件格式不变,公式都保留的!05组基轨迹建模 GBTM的介绍与实现(Stata 或 R)06DeepSeek各版本说明与优缺点分析07【超详细】Windows安装Npcap08YOLOv5改进 | 添加CA注意力机制 + 增加预测层 + 更换损失函数之GIoU09Coze扣子平台完整体验和实践(附国内和国际版对比)10ECA 注意力机制:让你的卷积神经网络更上一层楼