转自:http://blog.csdn.net/madding/article/details/26717963

生成Self Signed证书

# 生成一个key,你的私钥,openssl会提示你输入一个密码,可以输入,也可以不输,
# 输入的话,以后每次使用这个key的时候都要输入密码,安全起见,还是应该有一个密码保护

> openssl genrsa -des3 -out selfsign.key 4096

# 使用上面生成的key,生成一个certificate signing request (CSR)

# 如果你的key有密码保护,openssl首先会询问你的密码,然后询问你一系列问题,

# 其中Common Name(CN)是最重要的,它代表你的证书要代表的目标,如果你为网站申请的证书,就要添你的域名。

> openssl req -new -key selfsign.key -out selfsign.csr

# 生成Self Signed证书 selfsign.crt就是我们生成的证书了

> openssl x509 -req -days 365 -in selfsign.csr -signkey selfsign.key -out selfsign.crt

# 另外一个比较简单的方法就是用下面的命令,一次生成key和证书

> openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout privateKey.key -out certificate.crt

生成自己的CA (Certificate Authority)

# 生成CA的key

> openssl genrsa -des3 -out ca.key 4096

# 生成CA的证书

> openssl req -new -x509 -days 365 -key ca.key -out ca.crt

# 生成我们的key和CSR这两步与上面Self Signed中是一样的

> openssl genrsa -des3 -out myserver.key 4096

> openssl req -new -key myserver.key -out myserver.csr

# 使用ca的证书和key,生成我们的证书

# 这里的set_serial指明了证书的序号,如果证书过期了(365天后),

# 或者证书key泄漏了,需要重新发证的时候,就要加1

> openssl x509 -req -days 365 -in myserver.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out myserver.crt

查看证书

# 查看KEY信息

> openssl rsa -noout -text -in myserver.key

# 查看CSR信息

> openssl req -noout -text -in myserver.csr

# 查看证书信息

> openssl x509 -noout -text -in ca.crt

# 验证证书

# 会提示self signed

> openssl verify selfsign.crt

# 因为myserver.crt 是幅ca.crt发布的,所以会验证成功

> openssl verify -CAfile ca.crt myserver.crt

去掉key的密码保护

有时候每次都要输入密码太繁琐了,可以把Key的保护密码去掉

> openssl rsa -in myserver.key -out server.key.insecure

不同格式证书的转换

# PKCS转换为PEM

> openssl pkcs12 -in myserver.pfx -out myserver.pem -nodes


# PEM转换为DER

> openssl x509 -outform der -in myserver.pem -out myserver.[der|crt]




# PEM提取KEY


> openssl RSA -in myserver.pem -out myserver.key

# DER转换为PEM

> openssl x509 -inform der -in myserver.[cer|crt] -out myserver.pem

# PEM转换为PKCS

> openssl pkcs12 -export -out myserver.pfx -inkey myserver.key -in myserver.pem -certfile ca.crt





测试证书


Openssl提供了简单的client和server工具,可以用来模拟SSL连接,做测试使用。




# 连接到远程服务器

> openssl s_client -connect www.google.com.hk:443

# 模拟的HTTPS服务,可以返回Openssl相关信息

# -accept 用来指定监听的端口号

# -cert -key 用来指定提供服务的key和证书

> openssl s_server -accept 443 -cert myserver.crt -key myserver.key -www

# 可以将key和证书写到同一个文件中

> cat myserver.crt myserver.key > myserver.pem

# 使用的时候只提供一个参数就可以了

> openssl s_server -accept 443 -cert myserver.pem -www

# 可以将服务器的证书保存下来

> openssl s_client -connect www.google.com.hk:443 </dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > remoteserver.pem

# 转换成DER文件,就可以在Windows下直接查看了

> openssl x509 -outform der -in remoteserver.pem -out remoteserver.cer




计算MD5和SHA1




# MD5 digest

> openssl dgst -md5 filename

# SHA1 digest

> openssl dgst -sha1 filenam


												


											
SSL证书指令的更多相关文章
	

    
								
  1. openSSL命令、PKI、CA、SSL证书原理
		
    相关学习资料 http://baike.baidu.com/view/7615.htm?fr=aladdin http://www.ibm.com/developerworks/cn/security ...
    
		
    2. 
						
  2. 用阿里云的免费 SSL 证书让网站从 HTTP 换成 HTTPS
		
    HTTP 协议是不加密传输数据的,也就是用户跟你的网站之间传递数据有可能在途中被截获,破解传递的真实内容,所以使用不加密的 HTTP 的网站是不太安全的.所以, Google 的 Chrome 浏览器 ...
    
		
    3. 
						
  3. 阿里云和腾讯云免费SSL证书  专题
		
    阿里云部署SSL证书 http://www.cnblogs.com/sslwork/p/5984167.html 查找中间证书 为了确保兼容到所有浏览器,我们必须在阿里云上部署中间证书,如果不部署证书 ...
    
		
    4. 
						
  4. https 自签名SSL证书
		
    介绍 TLS或称传输层安全性,及其前身SSL(代表安全套接字层)是用于将正常流量包装在受保护的加密包装中的Web协议. 使用这种技术,服务器可以在服务器和客户端之间安全地发送流量,而不会被外部各方拦截 ...
    
		
    5. 
						
  5. 最新阿里云服务器免费SSL证书配置HTTPS的两种方法(图文教程二)
		
    在大家学习如何利用免费SSL证书配置网站HTTPS之前,我们先要搞清楚为什么要开启HTTPS,这个绿色的小锁真的有用吗?所谓的HTTPS其实是(安全套接字层超文本传输协议)是以安全为目标的HTTP通道 ...
    
		
    6. 
						
  6. linux ssl证书配置(apache)
		
    1. 前提是 已通过第三方 申请到 .crt .key 和 .ca-bundle 文件 2. 将三个文件拷贝到linux服务器上 任意一个指定的目录 3. 找到要编辑的apache配置 Apache主 ...
    
		
    7. 
						
  7. 基于OpenSSL自建CA和颁发SSL证书
		
    关于SSL/TLS介绍见文章 SSL/TLS原理详解.关于证书授权中心CA以及数字证书等概念,请移步 OpenSSL 与 SSL 数字证书概念贴 . openssl是一个开源程序的套件.这个套件有三个 ...
    
		
    8. 
						
  8. 阿里云配置ssl证书服务遇到的几个问题和解决方法
		
    系统环境: 系统:阿里云ECS CentOS6.5+Apache2.4.10 前提:公司需要将站点升级到使用SSL证书服务(https) 实践执行:在阿里云的证书服务--选择了一个免费的证书服务,毕竟 ...
    
		
    9. 
						
  9. 使用openssl生成SSL证书完全参考手册
		
    一般来说,配置HTTPS/SSL的步骤为: 1.生成足够强度的私钥.需要考虑:算法,广泛采用的一般是RSA.键长度,RSA默认为512,一般应选择2048.密码,虽然私钥不一定要加密存储,但是加密存储 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. Spring Boot 系列教程17-Cache-缓存
			
    缓存 缓存就是数据交换的缓冲区(称作Cache),当某一硬件要读取数据时,会首先从缓存中查找需要的数据,如果找到了则直接执行,找不到的话则从内存中找.由于缓存的运行速度比内存快得多,故缓存的作用就是帮 ...
    
			
    2. 
						
  2. js对象大总结2016/4/19
			
    本地对象(非静态对象) 常用的对象Object,Funcion,Array,Boolen,String,Boolen,Number,Date,RegEXP,Error;new一下就能用的 内置对象:( ...
    
			
    3. 
						
  3. java 接口参数
			
    Example6_5.java interface SpeakHello { void speakHello(); } class Chinese implements SpeakHello { pu ...
    
			
    4. 
						
  4. jquery_api事件(二)
			
    1.hover 一个模仿悬停事件的方法.它为频繁使用的任务提供了一种“保持在其中”的状态. 当鼠标移动到一个匹配的元素上面时,会触发指定的第一个函数.当鼠标移出这个元素时,会触发指定的第二个函数.而且 ...
    
			
    5. 
						
  5. arrayList里的快速失败
			
    快速失败是指某个线程在迭代集合类的时候,不允许其他线程修改该集合类的内容,这样迭代器迭代出来的结果就会不准确. 比如用iterator迭代collection的时候,iterator就是另外起的一个线 ...
    
			
    6. 
						
  6. linux shell: 取得某个目录下的文件名列表
			
    取得某个目录下文件名的列表(没有子目录) ls -l dir/ | awk '{print "dir\\" $9}' #其中$9是ls -l 的第9个字段-文件名
    
			
    7. 
						
  7. haar_adaboost_cascade阅读资料
			
    1,AdaBoost中利用Haar特征进行人脸识别算法分析与总结1——Haar特征与积分图 2,浅谈 Adaboost 算法 3,浅析人脸检测之Haar分类器方法 4,http://wenku.bai ...
    
			
    8. 
						
  8. Django: 之Web框架完美解析
			
    Web框架解析 Web通过Socket来监听客户端,,一旦发现客户发送的信息立刻接受.接受之后在服务端查找客户的请求,找到请求返回给用户,断开.这是一个连接,不断的接收,不断的返回. #!/usr/b ...
    
			
    9. 
						
  9. ERROR   CL .exe……错误
			
    这个错误遇见了两次,一次是在装VC时,解决办法见 这个 还有一次是VS2012时,遇见了: error MSB6006: “CL.exe”已退出,代码为 -1073741515. 解决办法:Add t ...
    
			
    10. 
						
  10. 我也谈javascript正则匹配
			
    一.javascript 正则全局匹配 g 慎用test()方法 来个例子: var a = /^[a-z]+/gi; a.test('bb123'); //true a.lastIndex ; // ...
    
			
    11.