转自:https://www.zybuluo.com/muyanfeixiang/note/392079

简介

公钥私钥用来互相加解密的一对密钥,一般是采用RSA非对称算法。公钥加密的私钥能解密,私钥加密的公钥能解密。关于公私钥更多内容,网上都有就不详细介绍。

关于CA证书,是由第三方机构下发的,可以对私钥签名附加上机构信息。浏览器就可以在https协议中通过该证书信任第三分站点。当然也可以自己生成根证书来签发子证书。

 

操作

 

生成根证书

1.首先生成私钥

 
  1. openssl genrsa -out root.key 2048

该命含义如下: 
genrsa——使用RSA算法产生私钥 
-aes256——使用256位密钥的AES算法对私钥进行加密(以忽略) 
-out——输出文件的路径 
2048——指定私钥长度 
2.生成根证书签发申请文件(csr文件)

 
  1. openssl req -new -key root.key -out root.csr -subj "/C=CN/ST=ShangHai/L=ShangHai/O=Yunan International Trust Company/OU=Internet Finance/CN=YNTRUST"

该命令含义如下: 
req——执行证书签发命令 
-new——新证书签发请求 
-key——指定私钥路径 
-out——输出的csr文件的路径 
-subj——证书相关的用户信息(subject的缩写) 
3.自签发根证书(cer文件)

 
  1. openssl x509 -req -days 3000 -sha1 -extensions v3_ca -signkey root.key -in root.csr -out root.cer

该命令的含义如下: 
x509——生成x509格式证书 
-req——输入csr文件 
-days——证书的有效期(天) 
-sha1——证书摘要采用sha1算法 
-extensions——按照openssl.cnf文件中配置的v3_ca项添加扩展 
-signkey——签发证书的私钥 
-in——要输入的csr文件 
-out——输出的cer证书文件 
使用的-extensions值为v3_ca,v3_ca中指定的basicConstraints的值为CA:TRUE,表示该证书是颁发给CA机构的证书。

到此就完成了根证书的生成。

 

使用根证书签发服务端证书

和生成根证书的步骤类似,这里就不再介绍相同的参数了。 
1.生成服务端私钥(可以给商户客户)

 
  1. openssl genrsa -out private/server-key.pem 2048

2.生成证书请求文件

 
  1. openssl req -new -key private/server-key.pem -out private/server.csr -subj "/C=CN/ST=ShangHai/L=ShangHai/O=Yunan International Trust Company/OU=Internet Finance/CN=YNTRUST"

3.使用根证书签发服务端证书(此时证书只有公钥,没有私钥)

 
  1. openssl x509 -req -days 3000 -sha1 -extensions v3_req -CA root_cert/root.cer -CAkey root_cert/root.key -CAserial ca.srl -CAcreateserial -in private/server.csr -out private/server.cer

这里有必要解释一下这几个参数: 
-CA——指定CA证书的路径 
-CAkey——指定CA证书的私钥路径 
-CAserial——指定证书序列号文件的路径 
-CAcreateserial——表示创建证书序列号文件(即上方提到的serial文件),创建的序列号文件默认名称为-CA,指定的证书名称后加上.srl后缀 
注意:这里指定的-extensions的值为v3_req,在OpenSSL的配置中,v3_req配置的basicConstraints的值为CA:FALSE 
4.将上一步的证书转换为der格式(二进制格式,不能文本打开)

 
  1. openssl x509 -outform der -in test-private/server.cer -out private/publicserver.ccertificate.der
 

证书格式的转换

以上生成的公私钥和证书都是PEM格式的,但很多时候不同场景中还需要用到其他格式的证书:

 
  1. p12/pfx

p12/pfx是按照PKCS#12编码的对象,它通常由X.509证书和对应的私钥组成。生成p12格式的方法如下:

 
  1. openssl pkcs12 -export -in server.cer -inkey server-key.pem -out server.pfx

由于文件中保存了私钥,因此执行该命令,openssl会要求用户输入密码,用于保护私钥。

 

从私钥导出公钥

 
  1. openssl rsa -in server-key.pem -pubout -outform PEM -out server-key-pub.pem
 

c#操作签名和验证

 
  2. X509Certificate2 pri = new X509Certificate2(@"D:\self_cerf\certs\000191400205798.pfx", "123456"); //读取签名私钥
  3. var testData = Encoding.UTF8.GetBytes("liuyanbin");
  4. RSACryptoServiceProvider rsaObj = null;
  5. if (pri.HasPrivateKey)
  6. {
  7. rsaObj = (RSACryptoServiceProvider)pri.PrivateKey;
  8. var signature = rsaObj.SignData(testData, new SHA1CryptoServiceProvider());//使用SHA1算法获得摘要并进行签名
  9. //var pri_pub = (RSACryptoServiceProvider)pri.PublicKey.Key;
  10. //var ss = rsaObj.VerifyData(testData, new SHA1CryptoServiceProvider(), signature);
  12. var rsa = PemKeyUtils.GetRSAProviderFromPemFile(@"D:\self_cerf\private\server-key-pub.pem");//获取公钥
  13. var result = rsa.VerifyData(testData, new SHA1CryptoServiceProvider(), signature);//验证签名
  14. }

PemKeyUtils代码详见公钥相关代码

-------------------  update @ 20170515  -----------------------------------

生成带密码的私钥(请注意:这个方法是错误的!!!):

/home/tong/Keys/https/test [tong@T7] [:]

> openssl genrsa -out server-withpass.pem -passout pass:one1234

Generating RSA private key,  bit long modulus

....................+++

..+++

e is  (0x010001)

密码参数的格式: man 1 openssl

  -------------  4 hours later  ------------

发现各种诡异问题,始终感觉加密没有成功。。。。。 原来。。。。 真的没有成功。。。尼玛。。。请看 man genrsa 的这一段:

       -aes128|-aes192|-aes256|-camellia128|-camellia192|-camellia256|-des|-des3|-idea

           These options encrypt the private key with specified cipher before outputting it. If none of these options is specified no encryption is used. If

           encryption is used a pass phrase is prompted for if it is not supplied via the -passout argument.

于是,重新修改上边的命令:

/home/tong/Keys/https/test [tong@T7] [:]

> openssl genrsa -out server-withpass.pem -des3 -passout pass:one1234

Generating RSA private key,  bit long modulus

..+++

.........+++

e is  (0x010001)

怎么验证有没有加密呢?加密成没成功?

1. 导出一下公钥,如果有加密,一定会和你要密码的

/home/tong/Keys/https/test [tong@T7] [:]

> openssl rsa -in server-withpass.pem -pubout

Enter pass phrase for server-withpass.pem:

2.  cat 一下,就可以看出来了。加了密的和没加密的内容不同

/home/tong/Keys/https/test [tong@T7] [:]

> cat server-withpass.pem

-----BEGIN RSA PRIVATE KEY-----

Proc-Type: ,ENCRYPTED

DEK-Info: DES-EDE3-CBC,83CB22577C5385B6

fwFmtRTl8tZhL7MLOQk0LwaL5IFZWel0x

...... ......

69hch0TG+LsnMdNTkbQtwbBIaZGvafwL2ir7VNxHjM1N0Nw

-----END RSA PRIVATE KEY-----

/home/tong/Keys/https/test [tong@T7] [:]

> cat server-key.pem

-----BEGIN RSA PRIVATE KEY-----

MIIEogIBAAKCAQEAxImkuzjwDrtKkvGN78/s

...... ......

a55nnYhvTpDqsLZtRFitPTP27q9LDns=

-----END RSA PRIVATE KEY-----

更对内容:

[ipsec][strongswan] 用strongswan pki工具生成自签名证书

[ipsec][crypto] 有点不同的数字证书到底是什么

[https][openssl] OpenSSL 公钥、私钥以及自签名证书的更多相关文章

  1. .net core中使用openssl的公钥私钥进行加解密

    这篇博文分享的是 C#中使用OpenSSL的公钥加密/私钥解密 一文中的解决方法在 .net core 中的改进.之前的博文针对的是 .NET Framework ,加解密用的是 RSACryptoS ...

  2. OpenSSL生成公钥私钥***

    证书标准 X.509 - 这是一种证书标准,主要定义了证书中应该包含哪些内容.其详情可以参考RFC5280,SSL使用的就是这种证书标准. 编码格式 同样的X.509证书,可能有不同的编码格式,目前有 ...

  3. OpenSSL与公钥私钥证书签名的千丝万缕

    导语 人对任何事物的认识都是阶段性的,从无知到知晓,从懵懂到半知半解,从误解到将信将疑,从晕头转向到下定决心吃透. 介绍 OpenSSL是一个强大的命令行工具,它可以用来处理许多种跟PKI(Publi ...

  4. 支付宝开放平台 配置RSA(SHA1)密钥 OpenSSL配置公钥私钥对

    进入到第一次配置支付宝支付服务了 配置支付宝服务,需要去支付宝的开放平台申请服务 需要设置一些参数 其中需要在后台设置配置RSA(SHA1)密钥(公钥(注意这个子读"yao")) ...

  5. Java中使用OpenSSL生成公钥私钥进行数据加解密

    当前使用的是Linux系统,已经安装OpenSSL软件包. 一.使用OpenSSL来生成私钥和公钥1.执行命令openssl version -a 验证机器上已经安装openssl $ openssl ...

  6. C# 中使用 OpenSSL 的公钥/私钥进行加密和解密

    在C#中进行RSA解密,需要用RSACryptoServiceProvider,但是不支持OpenSSL格式的公钥或者私钥. X509 公钥 -----BEGIN PUBLIC KEY----- MI ...

  7. openssl生成公钥私钥对 加解密

    在计算机软件开发世界中,编程语言种类极多,数据在各种语言的表现形式可能有所差异,但数据本身的处理可能,或者说本质上是完全一样的:比如数据在某个算法中的运算过程是一样的.在这里,我以加密与解密来作为例子 ...

  8. 用 openSSL 生成 公钥 私钥

    支付宝app接口需要 RSA加密通讯 https://doc.open.alipay.com/doc2/detail?treeId=58&articleId=103242&docTyp ...

  9. PHP Openssl 生成公钥私钥

    <?php //配置信息 $dn = array( "countryName" => "GB", "stateOrProvinceName ...

随机推荐

  1. CentOS 上开启 BBR 加速

    BBR 算法需要 Linux 4.9 及以上的内核支持,所以想要使用该方式的需要先升级内核版本. 在 Cent OS 7 上的 Linux 内核是 3.10, 使用 uname -r 查看内核版本 [ ...

  2. Android开发(二十三)——Application

    参考: [1] Android中Application类用法.http://www.cnblogs.com/renqingping/archive/2012/10/24/Application.htm ...

  3. 【iCore4 双核心板_ARM】例程十七:USB_MSC实验——读/写U盘(大容量存储器)

    实验方法: 1.将跳线冒跳至USB_UART,通过Micro USB 线将iCore4 USB-UART接口与电脑相连. 2.打开PUTTY软件. 3.通过读U盘转接线将U盘(或者读卡器)与iCore ...

  4. <我的股票交易知识汇总与个人感悟_v1.0 (By geman)>

    书在这里 一个完整的股票交易包括选股.买股.持股.卖股四个阶段. 右侧交易,顶是跌出来的,底是涨出来的 一定要敢于止损,设好止损位,严格执行,即使踏空也无怨无悔:资金安全第一位 坚持只买处于上升通道的 ...

  5. URLEncoder 和URLDecoder

    通常在字符串的编码转换上,可以使用这两个类: public static void main(String[] args) { String str = "你好吗?我很好!"; t ...

  6. FilenameFilter总结

    一.FilenameFilter介绍   java.io.FilenameFilter是文件名过滤器,用来过滤不符合规格的文件名,并返回合格的文件: 一般地: (1)String[] fs = f.l ...

  7. Linux目录详细说明大全(推荐)

    Linux目录详细说明大全,方便你以后合理规划及管理 "/" : 根目录Linux文件系统的入口.也是最高级,最重要的的目录.除衍生出其它目录,还和系统的开机,还原,系统修复有的, ...

  8. java-信息安全(十一)-非对称加密算法ECC

    概述 信息安全基本概念: ECC算法(Elliptic curve cryptography,椭圆曲线密码学) ECC 椭圆加密算法(ECC)是一种公钥加密体制,最初由Koblitz和Miller两人 ...

  9. vector的多套遍历方案

    1.迭代器 begin,end,*it++ 2.下标法 3.at函数(GetAt) 4.指针法 指针移到头部rewind.

  10. laravel 5 : Class 'input' not found

     在配置文件中:config\app.php 加上 'Input' => Illuminate\Support\Facades\Input::class, 或者 引用 :use Illumina ...