author:JevonWei

版权声明:原创作品


1、构建根证书

构建根证书前,需要构建随机数文件(.rand),完整命令如

openssl rand -out private/.rand 1000
rand 随机数命令。这里将随机数文件输出到private目录下。
-out 输出文件路径,这里的参数1000,指定来产生伪随机字节数

2、构建根证书私钥

openssl genrsa -aes256 -out private/ca.key.pem 2048

3、生成根证书签发申请

完成密钥构建操作后,我们需要生成根证书签发申请文件(ca.csr),完整命令如代码

openssl req -new -key private/ca.key.pem -out private/ca.csr -subj "/C=CN/ST=BJ/L=BJ/O=lesaas/OU=lesaas/CN=*.lesaas.cn"
req 产生证书签发申请命令
-new 表示新请求
-key 密钥,这里为private/ca.key.pem文件
-out 输出路径,这里为private/ca.csr文件
-subj 指定用户信息。这里使用泛域名"*.lesaas.cn"
得到根证书签发申请文件后,我们可以将其发生给CA机构签发,当然我们也可以自行签发根证书。

4、签发根证书(自行签发根证书)

openssl x509 -req -days 10000 -sha1 -extensions v3_ca -signkey private/ca.key.pem -in private/ca.csr -out certs/ca.cer
x509 签发X.509格式证书命令。
-req 表示证书输入请求。
-days 表示有效天数,这里为10000天。
-shal 表示证书摘要算法,这里为SHA1算法。
-extensions 表示按OpenSSL配置文件v3_ca项添加扩展。
-signkey 表示自签名密钥,这里为private/ca.key.pem。
-in 表示输入文件,这里为private/ca.csr。
-out 表示输出文件,这里为certs/ca.cer。
  • OpenSSL产生的数据证书不能再JAVA语言环境中直接使用,需要将其转化为PKCS#12编码格式。

    完整命令如代码

5、根证书转化

openssl pkcs12 -export -cacerts -inkey private/ca.key.pem -in certs/ca.cer -out certs/ca.p12
pkcs12 PKCS#12编码格式证书命令。
-export 表示导出证书。
-cacerts 表示仅导出CA证书。
-inkey 表示输入密钥,这里为private/ca.key.pem
-in 表示输入文件,这里为certs/ca.cer
-out 表示输出文件,这里为certs/ca.p12
个人信息交换文件(PKCS#12)可以作为密钥库或信任库使用,我们可以通过KeyTool查看密钥库的详细信息。

6、查看密钥库信息

keytool -list -keystore d:/CA/certs/ca.p12 -storetype pkcs12 -v -storepass 123456
注意,这里参数-storetype值为“pkcs12”。
我们已经构建了根证书(ca.cer),我们可以使用根证书签发服务器证书和客户证书。

7、构建服务器证书

服务器证书的构建与根证书构建相似,首先需要构建私钥。

(1)构建服务器私钥
openssl genrsa -aes256 -out private/server.key.pem 2048
genrsa 产生RSA密钥命令。
-aes256 使用AES算法(256位密钥)对产生的私钥加密。可选算法包括DES,DESede,IDEA和AES。
-out 输出路径,这里指private/server.key.pem。
这里的参数2048,指RSA密钥长度位数,默认长度为512位。
(2)生成服务器证书签发申请
openssl req -new -key private/server.key.pem -out private/server.csr -subj "/C=CN/ST=BJ/L=BJ/O=lesaas/OU=lesaas/CN=www.lesaas.cn"
req 产生证书签发申请命令
-new 表示新请求。
-key 密钥,这里为private/ca.key.pem文件
-out 输出路径,这里为private/ca.csr文件
-subj 指定用户信息,这里使用域名“www.lesaas.cn”作为用户名。
我们已经获得了根证书,可以使用根证书签发服务器证书。
(3)签发服务器证书
openssl x509 -req -days 3650 -sha1 -extensions v3_req -CA certs/ca.cer -CAkey private/ca.key.pem -CAserial ca.srl -CAcreateserial -in private/server.csr -out certs/server.cer
x509 签发X.509格式证书命令。
-req 表示证书输入请求。
-days 表示有效天数,这里为3650天。
-sha1 表示证书摘要算法,这里为SHA1算法。
-extensions 表示按OpenSSL配置文件v3_req项添加扩展。
-CA 表示CA证书,这里为certs/ca.cer
-CAkey 表示CA证书密钥,这里为private/ca.key.pem
-CAserial 表示CA证书序列号文件,这里为ca.srl
-CAcreateserial表示创建CA证书序列号
-in 表示输入文件,这里为private/server.csr
-out 表示输出文件,这里为certs/server.cer
这里我们同样需要将OpenSSL产生的数子证书转化为PKCS#12编码格式。完整命令如下
(4)服务器证书转换
openssl pkcs12 -export -clcerts -inkey private/server.key.pem -in certs/server.cer -out certs/server.p12
pkcs12 PKCS#12编码格式证书命令。
-export 表示导出证书。
-clcerts 表示仅导出客户证书。
-inkey 表示输入文件,这里为private/server.key.pem
-in 表示输入文件,这里为certs/ca.cer
-out 表示输出文件,这里为certs/server.p12
我们已经构建了服务器证书(server.cer),并可使用该证书构建基于单向认证网络
(5)构建客户证书
客户证书的构建与服务器证书构建基本一致,首先需要构建私钥。
产生客户私钥
openssl genrsa -aes256 -out private/client.key.pem 2048
genrsa 产生RSA密钥命令
-aes256 使用AES算法(256为密钥)对产生的私钥加密。可选算法包括DES,DESede,IDEA和AES。
-out 输出路径,这里指private/client.key.pem
这里的参数2048,指RSA密钥长度位数,默认长度为512位
完成客户证书密钥构建后,我们需要产生客户证书签发申请
(6)生成客户证书签发申请
openssl req -new -key private/client.key.pem -out private/client.csr -subj "/C=CN/ST=BJ/L=BJ/O=lesaas/OU=lesaas/CN=lesaas"
req 产生证书签发申请命令
-new 表示新的请求。
-key 密钥,这里为private/client.csr文件
-subj 指定用户信息,这里使用“lesaas”作为用户名
我们已经获得了根证书,可以使用根证书签发客户证书(client.cer)
(7)签发客户证书
openssl ca -days 3650 -in private/client.csr -out certs/client.cer -cert certs/ca.cer -keyfile private/ca.key.pem
ca 签发证书命令
-days 表示证书有效期,这里为3650天。
-in 表示输入文件,这里为private/client.csr
-out 表示输出文件,这里为certs/server.cer
-cert 表示证书文件,这里为certs/ca.cer
-keyfile 表示根证书密钥文件,这里为private/ca.key.pem
最后,我们需要将获得客户证书转化Java语言可以识别的PKCS#12编码格式。
(8)客户证书转换
openssl pkcs12 -export -inkey private/client.key.pem -in certs/client.cer -out certs/client.p12
pkcs12 PKCS#12编码格式证书命令
-export 表示导出证书
-clcerts 表示仅导出客户证书。
-inkey 表示输入密钥,这里为private/client.key.pem
-in 表示输入文件,这里为certs/client.cer
-out 表示输出文件,这里为certs/client.p12
至此,我们完成了双向认证的所需的全部证书。
数字证书是公钥的载体,而密钥库可以包含公钥、私钥信息。
JKS和PKCS#12都是比较常用的两种密钥库格式/标准。对于前者,搞Java开发,尤其是接触过HTTPS平台的朋友,并不陌生。JKS文件(通常为*.jks或*.keystore,扩展名无关)可以通过Java原生工具——KeyTool生成;而后者PKCS#12文件(通常为*.p12或*.pfx,意味个人信息交换文件),则是通过更为常用的OpenSSL工具产生。
当然,这两者之间是可以通过导入/导出的方式进行转换的!当然,这种转换需要通过KeyTool工具进行!

回归正题,计费同事遇到一个难题:合作方交给他们一个.pfx文件,需要他们从中提取密钥,然后进行加密交互。其实,通过Java直接操作密钥库文件(或个人信息交换文件)对于一般Java开发人员来说,这都是个冷门。不接触数字安全,根本不知所云。况且,Java原生的密钥库文件格式为JKS,如何操作.pfx文件?密钥库操作需要获知密钥库别名,*.pfx别名是什么?!接下来就解决这些问题!(PKCS#12是base64编码的)

  • 方案:

      通过keytool密钥库导入命令importkeystore,将密钥库格式由PKCS#12转换为JKS。
    检索新生成的密钥库文件,提取别名信息。
    由密钥库文件导出数字证书(这里将用到别名)。
    通过代码提取公钥/私钥、签名算法等
    先看格式转换: echo 格式转换 keytool -importkeystore -v -srckeystore zlex.pfx -srcstoretype pkcs12 -srcstorepass 123456 -destkeystore zlex.keystore -deststoretype jks -deststorepass 123456
    -importkeystore导入密钥库,通过格式设定,我们可以将PKCS#12文件转换为JKS格式。
    -v显示详情
    -srckeystore源密钥库,这里是zlex.pfx
    -srcstoretype源密钥库格式,这里为pkcs12
    -srcstorepass源密钥库密码,这里为123456
    -destkeystore目标密钥库,这里为zlex.keystore
    -deststoretype目标密钥库格式,这里为jks,默认值也如此
    -deststorepass目标密钥库密码,这里为123456
    通过这个操作,我们能够获得所需的密钥库文件zlex.keystore。
    这时,我们已经获得了密钥库文件,只要确定对应的别名信息,就可以提取公钥/私钥,以及数字证书,进行加密交互了! echo 查看证书
    keytool -list -keystore zlex.keystore -storepass 123456 -v
    -list列举密钥库
    -keystore密钥库,这里是zlex.keystore
    -storepass密钥库密码,这里是123456
    -v显示详情 现在,我们把证书导出!
    echo 导出证书 keytool -exportcert -alias 1 -keystore zlex.keystore -file zlex.crt -storepass 123456
    -exportcert导出证书
    -alias别名,这里是1
    -keystore密钥库,这里是zlex.keystore
    -file证书文件,这里是zlex.crt
    -storepass密钥库密码,这里是123456

openssl命令的更多相关文章

  1. OpenSSL命令系列

    1.1 ssl命令系列前言 openssl命令的格式是"openssl command command-options args",command部分有很多种命令,这些命令需要依赖 ...

  2. openssl命令用法

    openssl命令 配置文件:/etc/pki/tls/openssl.cnf 命令格式: openssl command [ command_opts ] [ command_args ] 众多子命 ...

  3. openssl命令行工具简介 - 指令x509

    原文链接: http://blog.csdn.net/allwtg/article/details/4982507 openssl命令行工具简介 - 指令x509 用法:           open ...

  4. 使用openssl命令剖析RSA私钥文件格式

    原文 https://blog.csdn.net/zhymax/article/details/7683925 Openssl提供了强大证书功能,生成密钥对.证书,颁发证书.生成crl.验证证书.销毁 ...

  5. openssl命令实例

    基本知识 1,证书标准 X.509 X.509 - 这是一种证书标准,主要定义了证书中应该包含哪些内容.其详情可以参考RFC5280,SSL使用的就是这种证书标准. X.509的证书文件,一般以.cr ...

  6. 用OpenSSL命令行生成证书文件

    用OpenSSL命令行生成证书文件 1.首先要生成服务器端的私钥(key文件): openssl genrsa -des3 -out server.key 1024 运行时会提示输入密码,此密码用于加 ...

  7. (2) OpenSSL命令

    openssl命令的格式是"openssl command command-options args",command部分有很多种命令,这些命令需要依赖于openssl命令才能执行 ...

  8. (转)openssl 命令: openssl req 命令详解

                                      openssl req命令主要的功能有,生成证书请求文件, 查看验证证书请求文件,还有就是生成自签名证书.本文就主要记录一下open ...

  9. OpenSSL命令---pkcs8

    用途: pkcs8格式的私钥转换工具.它处理在PKCS#8格式中的私钥文件.它可以用多样的PKCS#5 (v1.5 and v2.0)和 PKCS#12算法来处理没有解密的PKCS#8 Private ...

  10. openssl命令行工具简介 - RSA操作

    原文链接: http://www.cnblogs.com/aLittleBitCool/archive/2011/09/22/2185418.html 首先介绍下命令台下openssl工具的简单使用: ...

随机推荐

  1. [BZOJ 1500]维修数列 [Splay Tree从进阶到住院]

    历尽艰辛终于A掉了这题QwQ 贴COGS评论区几句话=.= 策爷:"splay/块状链表的自虐题.".深刻理解到如果没有M倾向就不要去写这题了.. -Chenyao2333 记得b ...

  2. Keras Xception Multi loss 细粒度图像分类

    作者: 梦里茶 如果觉得我的工作对你有帮助,就点个star吧 关于 这是百度举办的一个关于狗的细粒度分类比赛,比赛链接: http://js.baidu.com/ 框架 Keras Tensorflo ...

  3. Nlpir Parser敏感词搜索灵玖语义技术应用

    近年来随着网络技术的飞速发展和用户的剧烈增长,网络传输数据量越来越大,网络用语越来越趋于多样化.如何快速的屏蔽用户的不当言论.过滤用户发表内容中的非法词汇已成为关键词匹配领域的一项重大难题. 目前主要 ...

  4. year:2017 month:7 day:19

    2017-07-19 JavaScript 一:javascirpt的对象 1:数组对象 声明方式:(1)var arr=new Array(): (2)var arr=new Array(12): ...

  5. C++ STL Binary search详解

    一.解释 以前遇到二分的题目都是手动实现二分,不得不说错误比较多,关于返回值,关于区间的左闭右开等很容易出错,最近做题发现直接使用STL中的二分函数方便快捷还不会出错,不过对于没有接触过的同学,二分函 ...

  6. python进阶(3):模块和包

    之前两天我们介绍了一些比较常用的模块,而我也说过会讲解什么是模块,今天我们就来分析分析模块和包,模块我们现阶段使用还可以而包的话现阶段我们基本很少会用到包,学的不是很清楚也没关系这些东西都是用的多了也 ...

  7. Nodejs package.json文件介绍

    每个npm的安装包里面都会包含一个package.json,通常这个文件会在包的根目录下. 这个文件很类似于.net项目中的.csproj+AssemblyInfo.cs+App.config文件,主 ...

  8. Vue.js安装

    环境 操作系统:window7 虚拟机:centos7 vue.js: 2.8 安装nodejs 参考我得文章: http://blog.csdn.net/u013066244/article/det ...

  9. MySQL 6.0安装图解

    MySQL 6.0安装图解 由于免费,MySQL数据库在项目中用的越来越广泛,而且它的安全性能也特别高,不亚于oracle这样的大型数据库软件.可以简单的说,在一些中小型的项目中,使用MySQL ,P ...

  10. Handlebars模板引擎渲染页面

    基本使用 js: var testTpl = Handlebars.compile($('#test').html()); //模板 var arr = [1,2,3] //数据 $('#box'). ...