# Openssl关键知识

猪猪侠|ZZXia2026-03-12 21:19

Openssl关键知识

文章目录

  • Openssl关键知识
    • [1 常用命令](#1 常用命令)
    • [2 证书扩展段(Extensions Section)](#2 证书扩展段(Extensions Section))
    • [3 常用证书类型](#3 常用证书类型)

openssl及证书相关知识一般好像很简单,其实很复杂,这里介绍一些相对关键的部分,以后还会扩展。

更多openssl及ca知识请看https://gitee.com/zhf_sy/zzxia-openssl-ca-server

1 常用命令

命令 用途 典型使用场景
openssl genrsa 生成 RSA 私钥 为 CA 或用户生成私钥文件(.key
openssl req 生成证书请求(CSR)或自签名证书 基于私钥生成 CSR 文件(.csr),交互式或静默式填写主题信息
openssl ca 以 CA 身份签发/吊销证书 CA 根据 CSR 签发证书,记录到 index.txt 数据库,管理序列号
openssl x509 证书格式转换、查看、自签名 CA 自签名证书生成(-req -signkey)、PEM↔DER 格式转换、查看证书详情
openssl crl CRL 格式转换与查看 PEM↔DER 格式转换、查看吊销列表详情
openssl verify 验证证书链 验证用户证书是否由指定 CA 签发(-CAfile

openssl ca vs openssl x509 签发区别

  • openssl ca:完整的 CA 流程,会更新 index.txt 数据库和 serial 序列号,支持吊销管理
  • openssl x509 -req -signkey:简单的自签名,不经过 CA 数据库,仅用于根 CA 自签名证书(两步:先 req 生成 CSR,再 x509 自签名)
  • openssl req -new -x509:一步完成自签名证书生成(省去 CSR 中间步骤),效果等同上面两步,但更简洁

2 证书扩展段(Extensions Section)

本项目的 openssl.cnf 中定义了以下扩展段,用于不同类型的证书签发:

扩展段 用途 basicConstraints subjectKeyIdentifier authorityKeyIdentifier subjectAltName
v3_req CSR 生成openssl reqreq_extensions CA:FALSE hash ❌ 不可包含(CSR 阶段无签发者) @alt_names
usr_cert 终端证书签发openssl ca-extensions CA:FALSE hash keyid,issuer @alt_names
v3_ca CA/sub-CA 证书签发openssl caopenssl x509-extensions CA:true hash keyid:always,issuer(严格模式) @alt_names

为什么 v3_req 不能包含 authorityKeyIdentifier

因为 v3_req 同时被 openssl req 用作 req_extensions。生成 CSR 时还没有签发者证书,如果包含 authorityKeyIdentifier 会导致 OpenSSL 报错。

keyid vs keyid:always 的区别:

  • keyid:尝试从签发者证书复制 SKI,失败时静默跳过(适合终端证书)
  • keyid:always:失败时报错,确保证书链完整性(适合 CA 证书)

3 常用证书类型

编号 参数值 证书类型 密钥用法 (keyUsage) 增强密钥用法 (extendedKeyUsage)
1 ca CA证书 nonRepudiation, keyCertSign, cRLSign -
2 code 代码签名 digitalSignature codeSigning
3 computer 计算机 digitalSignature, keyAgreement serverAuth
4 webserver WEB服务器 digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment, keyAgreement serverAuth
5 client 客户端 digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment clientAuth
6 trustlist 信任列表 digitalSignature msCTLSign
7 timestamp 时间戳 digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment timeStamping
8 ipsec IPSec digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment 1.3.6.1.5.5.8.2.2
9 email 安全邮件 digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment emailProtection
10 smartcard 智能卡登录 digitalSignature, keyAgreement, decipherOnly msEFS, 1.3.6.1.4.1.311.20.2.2
相关推荐
哈哈浩丶4 分钟前
存储相关知识①—通用NAND Flash 基础
linux·存储·nand
mzhan0171 小时前
Linux: config: CRYPTO_USER_API_AEAD
linux·安全·module
wangjialelele1 小时前
【SystemV】基于建造者模式的信号量
linux·c语言·c++·算法·建造者模式
源远流长jerry2 小时前
Linux 网络虚拟化深度解析:从 veth 设备对到容器网络实战
linux·运维·服务器·网络·性能优化·php
|_⊙2 小时前
Linux 深入理解文件(Ext2文件系统:上)
linux·运维·数据库
kidwjb2 小时前
Linux共享内存
linux·服务器·进程间通信
红茶要加冰2 小时前
七、正则表达式
linux·运维·正则表达式·shell
ALINX技术博客2 小时前
【黑金云课堂】FPGA技术教程Linux开发:串行通信接口与实时时钟模块
linux·fpga开发
CC城子3 小时前
EtherCAT从站ssc V5.12源码研究与记录(二)
网络·ethercat
星恒讯工业路由器3 小时前
SDN:让网络变得更智能、更灵活、更可编程
网络·物联网·信息与通信·sdn
热门推荐
01GitHub 镜像站点02Codex 接入 DeepSeek API 完整配置文档03【AI】2026 年具身智能模型和世界模型总结04CC-Switch & Claude 基于 Linux 服务器安装使用指南05Gemini大升级、AI眼镜首发、Android XR亮相,13天后见分晓06Codex 手机端连接教程:三分钟搞定,附完整步骤07人工智能最新动态 AI 日报 · 2026年5月10日08头歌软件工程导论UML画图题(基于starUML)09AI科技热点日报 | 2026年5月11日10裂开!ChatGPT 居然开始要手机号验证,附详细解决方法