# Openssl关键知识

猪猪侠|ZZXia2026-03-12 21:19

Openssl关键知识

文章目录

  • Openssl关键知识
    • [1 常用命令](#1 常用命令)
    • [2 证书扩展段(Extensions Section)](#2 证书扩展段(Extensions Section))
    • [3 常用证书类型](#3 常用证书类型)

openssl及证书相关知识一般好像很简单,其实很复杂,这里介绍一些相对关键的部分,以后还会扩展。

更多openssl及ca知识请看https://gitee.com/zhf_sy/zzxia-openssl-ca-server

1 常用命令

命令 用途 典型使用场景
openssl genrsa 生成 RSA 私钥 为 CA 或用户生成私钥文件(.key
openssl req 生成证书请求(CSR)或自签名证书 基于私钥生成 CSR 文件(.csr),交互式或静默式填写主题信息
openssl ca 以 CA 身份签发/吊销证书 CA 根据 CSR 签发证书,记录到 index.txt 数据库,管理序列号
openssl x509 证书格式转换、查看、自签名 CA 自签名证书生成(-req -signkey)、PEM↔DER 格式转换、查看证书详情
openssl crl CRL 格式转换与查看 PEM↔DER 格式转换、查看吊销列表详情
openssl verify 验证证书链 验证用户证书是否由指定 CA 签发(-CAfile

openssl ca vs openssl x509 签发区别

  • openssl ca:完整的 CA 流程,会更新 index.txt 数据库和 serial 序列号,支持吊销管理
  • openssl x509 -req -signkey:简单的自签名,不经过 CA 数据库,仅用于根 CA 自签名证书(两步:先 req 生成 CSR,再 x509 自签名)
  • openssl req -new -x509:一步完成自签名证书生成(省去 CSR 中间步骤),效果等同上面两步,但更简洁

2 证书扩展段(Extensions Section)

本项目的 openssl.cnf 中定义了以下扩展段,用于不同类型的证书签发:

扩展段 用途 basicConstraints subjectKeyIdentifier authorityKeyIdentifier subjectAltName
v3_req CSR 生成openssl reqreq_extensions CA:FALSE hash ❌ 不可包含(CSR 阶段无签发者) @alt_names
usr_cert 终端证书签发openssl ca-extensions CA:FALSE hash keyid,issuer @alt_names
v3_ca CA/sub-CA 证书签发openssl caopenssl x509-extensions CA:true hash keyid:always,issuer(严格模式) @alt_names

为什么 v3_req 不能包含 authorityKeyIdentifier

因为 v3_req 同时被 openssl req 用作 req_extensions。生成 CSR 时还没有签发者证书,如果包含 authorityKeyIdentifier 会导致 OpenSSL 报错。

keyid vs keyid:always 的区别:

  • keyid:尝试从签发者证书复制 SKI,失败时静默跳过(适合终端证书)
  • keyid:always:失败时报错,确保证书链完整性(适合 CA 证书)

3 常用证书类型

编号 参数值 证书类型 密钥用法 (keyUsage) 增强密钥用法 (extendedKeyUsage)
1 ca CA证书 nonRepudiation, keyCertSign, cRLSign -
2 code 代码签名 digitalSignature codeSigning
3 computer 计算机 digitalSignature, keyAgreement serverAuth
4 webserver WEB服务器 digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment, keyAgreement serverAuth
5 client 客户端 digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment clientAuth
6 trustlist 信任列表 digitalSignature msCTLSign
7 timestamp 时间戳 digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment timeStamping
8 ipsec IPSec digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment 1.3.6.1.5.5.8.2.2
9 email 安全邮件 digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment emailProtection
10 smartcard 智能卡登录 digitalSignature, keyAgreement, decipherOnly msEFS, 1.3.6.1.4.1.311.20.2.2
相关推荐
AlfredZhao4 小时前
生产环境里,为什么不建议把普通端口直接暴露到公网?
linux·https·443·80
戴为沐1 天前
Linux内存扩容指南
linux
zylyehuo2 天前
Linux 彻底且安全地删除文件
linux
用户805533698032 天前
主线 U-Boot 上 RK3506:和闭源 rkbin 拔河的三个隐性契约
linux·嵌入式
用户034095297912 天前
linux fcitx 5 雾凇拼音 设置在中文输入法下仍然输入英文标点
linux
Web3探索者4 天前
可视化服务器管理和传统命令行区别是什么?新手教程:Linux 运维到底该用图形界面还是 SSH 命令行?
linux·ssh
zylyehuo4 天前
Linux系统中网线与USB网络共享冲突
linux
Sokach10155 天前
Linux Shell 脚本从零到能用:一个新手的一天学习总结
linux
AlfredZhao6 天前
Docker 容器时区不对,`timedatectl` 不存在怎么办?
linux·timezone
zzzzzz3107 天前
9K Star 炸裂开源!这个 C 语言写的代码知识图谱,把 Linux 内核索引压缩到了 3 分钟
linux·服务器·sql
热门推荐
012026年6月AI大模型全景报告:GPT-5.6、Claude Opus 4.8、Gemini 3.5,中美AI三足鼎立谁主沉浮?022026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?032026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf04飞书长连接_事件订阅(接收消息,审批任务状态变更)05Trae国际版与国内版深度测评:AI原生IDE的双生花06【AI】2026 年具身智能模型和世界模型总结07GitHub 镜像站点08Claude Code、Codex、Cursor三分天下:2026年AI编程Agent生态全景剖析092026年AI架构实战:彻底解决OpenAI接口超时与封号,Python调用GPT-5.2/Sora2企业级架构详解(附源码+压测报告)102026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?