文章分享

一、openssl 簡介

openssl 是目前最流行的 SSL 密碼庫工具，其提供了一個(gè)通用、健壯、功能完備的工具套件，用以支持SSL/TLS 協(xié)議的實(shí)現(xiàn)。
官網(wǎng)：https://www.openssl.org/source/

構(gòu)成部分

1. 密碼算法庫

2. 密鑰和證書封裝管理功能

3. SSL通信API接口

用途

1. 建立 RSA、DH、DSA key 參數(shù)

2. 建立 X.509 證書、證書簽名請求(CSR)和CRLs(證書回收列表)

3. 計(jì)算消息摘要

4. 使用各種 Cipher加密/解密

5. SSL/TLS 客戶端以及服務(wù)器的測試

6. 處理S/MIME 或者加密郵件

二、RSA密鑰操作

默認(rèn)情況下，openssl 輸出格式為 PKCS#1-PEM

生成RSA私鑰(無加密)

openssl genrsa -out rsa_private.key 2048

生成RSA公鑰

openssl rsa -in rsa_private.key -pubout -out rsa_public.key

生成RSA私鑰(使用aes256加密)

openssl genrsa -aes256 -passout pass:111111 -out rsa_aes_private.key 2048

其中 passout 代替shell 進(jìn)行密碼輸入，否則會(huì)提示輸入密碼；
生成加密后的內(nèi)容如：

-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: AES-256-CBC,5584D000DDDD53DD5B12AE935F05A007
Base64 Encoded Data
-----END RSA PRIVATE KEY-----

此時(shí)若生成公鑰，需要提供密碼

openssl rsa -in rsa_aes_private.key -passin pass:111111 -pubout -out rsa_public.key

其中 passout 代替shell 進(jìn)行密碼輸入，否則會(huì)提示輸入密碼；

轉(zhuǎn)換命令

私鑰轉(zhuǎn)非加密

openssl rsa -in rsa_aes_private.key -passin pass:111111 -out rsa_private.key

私鑰轉(zhuǎn)加密

openssl rsa -in rsa_private.key -aes256 -passout pass:111111 -out rsa_aes_private.key

私鑰PEM轉(zhuǎn)DER

openssl rsa -in rsa_private.key -outform der-out rsa_aes_private.der

-inform和-outform 參數(shù)制定輸入輸出格式，由der轉(zhuǎn)pem格式同理

查看私鑰明細(xì)

openssl rsa -in rsa_private.key -noout -text

使用-pubin參數(shù)可查看公鑰明細(xì)

私鑰PKCS#1轉(zhuǎn)PKCS#8

openssl pkcs8 -topk8 -in rsa_private.key -passout pass:111111 -out pkcs8_private.key

其中-passout指定了密碼，輸出的pkcs8格式密鑰為加密形式，pkcs8默認(rèn)采用des3 加密算法，內(nèi)容如下：

-----BEGIN ENCRYPTED PRIVATE KEY-----
Base64 Encoded Data
-----END ENCRYPTED PRIVATE KEY-----

使用-nocrypt參數(shù)可以輸出無加密的pkcs8密鑰，如下：

-----BEGIN PRIVATE KEY-----
Base64 Encoded Data
-----END PRIVATE KEY-----

三、生成自簽名證書

生成 RSA 私鑰和自簽名證書

openssl req -newkey rsa:2048 -nodes -keyout rsa_private.key -x509 -days 365 -out cert.crt

req是證書請求的子命令，-newkey rsa:2048 -keyout private_key.pem 表示生成私鑰(PKCS8格式)，-nodes 表示私鑰不加密，若不帶參數(shù)將提示輸入密碼；
-x509表示輸出證書，-days365 為有效期，此后根據(jù)提示輸入證書擁有者信息；
若執(zhí)行自動(dòng)輸入，可使用-subj選項(xiàng)：

openssl req -newkey rsa:2048 -nodes -keyout rsa_private.key -x509 -days 365 -out cert.crt -subj "/C=CN/ST=GD/L=SZ/O=vihoo/OU=dev/CN=vivo.com/emailAddress=yy@vivo.com"

使用 已有RSA 私鑰生成自簽名證書

openssl req -new -x509 -days 365 -key rsa_private.key -out cert.crt

-new 指生成證書請求，加上-x509 表示直接輸出證書，-key 指定私鑰文件，其余選項(xiàng)與上述命令相同

四、生成簽名請求及CA 簽名

使用 RSA私鑰生成 CSR 簽名請求

openssl genrsa -aes256 -passout pass:111111 -out server.key 2048
openssl req -new -key server.key -out server.csr

此后輸入密碼、server證書信息完成，也可以命令行指定各類參數(shù)

openssl req -new -key server.key -passin pass:111111 -out server.csr -subj "/C=CN/ST=GD/L=SZ/O=vihoo/OU=dev/CN=vivo.com/emailAddress=yy@vivo.com"

*** 此時(shí)生成的 csr簽名請求文件可提交至 CA進(jìn)行簽發(fā) ***

查看CSR 的細(xì)節(jié)

cat server.csr
-----BEGIN CERTIFICATE REQUEST-----
Base64EncodedData
-----END CERTIFICATE REQUEST-----

openssl req -noout -text -in server.csr

使用 CA 證書及CA密鑰 對請求簽發(fā)證書進(jìn)行簽發(fā)，生成 x509證書

openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey ca.key -passin pass:111111 -CAcreateserial -out server.crt

其中 CAxxx 選項(xiàng)用于指定CA 參數(shù)輸入

五、證書查看及轉(zhuǎn)換

查看證書細(xì)節(jié)

openssl x509 -in cert.crt -noout -text

轉(zhuǎn)換證書編碼格式

openssl x509 -in cert.cer -inform DER -outform PEM -out cert.pem

合成 pkcs#12 證書(含私鑰)

** 將 pem 證書和私鑰轉(zhuǎn) pkcs#12 證書 **

openssl pkcs12 -export -in server.crt -inkey server.key -passin pass:111111 -password pass:111111 -out server.p12

其中-export指導(dǎo)出pkcs#12 證書，-inkey 指定了私鑰文件，-passin 為私鑰(文件)密碼(nodes為無加密)，-password 指定 p12文件的密碼(導(dǎo)入導(dǎo)出)

** 將 pem 證書和私鑰/CA 證書 合成pkcs#12 證書**

openssl pkcs12 -export -in server.crt -inkey server.key -passin pass:111111 \
    -chain -CAfile ca.crt -password pass:111111 -out server-all.p12

其中-chain指示同時(shí)添加證書鏈，-CAfile 指定了CA證書，導(dǎo)出的p12文件將包含多個(gè)證書。(其他選項(xiàng)：-name可用于指定server證書別名；-caname用于指定ca證書別名)

** pcks#12 提取PEM文件(含私鑰) **

openssl pkcs12 -in server.p12 -password pass:111111 -passout pass:111111 -out out/server.pem

其中-password 指定 p12文件的密碼(導(dǎo)入導(dǎo)出)，-passout指輸出私鑰的加密密碼(nodes為無加密)
導(dǎo)出的文件為pem格式，同時(shí)包含證書和私鑰(pkcs#8)：

Bag Attributes
    localKeyID: 97 DD 46 3D 1E 91 EF 01 3B 2E 4A 75 81 4F 11 A6 E7 1F 79 40 
subject=/C=CN/ST=GD/L=SZ/O=vihoo/OU=dev/CN=vihoo.com/emailAddress=yy@vihoo.com
issuer=/C=CN/ST=GD/L=SZ/O=viroot/OU=dev/CN=viroot.com/emailAddress=yy@viroot.com
-----BEGIN CERTIFICATE-----
MIIDazCCAlMCCQCIOlA9/dcfEjANBgkqhkiG9w0BAQUFADB5MQswCQYDVQQGEwJD
1LpQCA+2B6dn4scZwaCD
-----END CERTIFICATE-----
Bag Attributes
    localKeyID: 97 DD 46 3D 1E 91 EF 01 3B 2E 4A 75 81 4F 11 A6 E7 1F 79 40 
Key Attributes: <No Attributes>
-----BEGIN ENCRYPTED PRIVATE KEY-----
MIIEvAIBADANBgkqhkiG9w0BAQEFAASCBKYwggSiAgEAAoIBAQDC/6rAc1YaPRNf
K9ZLHbyBTKVaxehjxzJHHw==
-----END ENCRYPTED PRIVATE KEY-----

僅提取私鑰

 openssl pkcs12 -in server.p12 -password pass:111111 -passout pass:111111 -nocerts -out out/key.pem

僅提取證書(所有證書)

 openssl pkcs12 -in server.p12 -password pass:111111 -nokeys -out out/key.pem

僅提取ca證書

openssl pkcs12 -in server-all.p12 -password pass:111111 -nokeys -cacerts -out out/cacert.pem

僅提取server證書

openssl pkcs12 -in server-all.p12 -password pass:111111 -nokeys -clcerts -out out/cert.pem

六、openssl 命令參考

1. openssl list-standard-commands(標(biāo)準(zhǔn)命令)
    1) asn1parse: asn1parse用于解釋用ANS.1語法書寫的語句(ASN一般用于定義語法的構(gòu)成) 
    2) ca: ca用于CA的管理 
    openssl ca [options]:
        2.1) -selfsign
        使用對證書請求進(jìn)行簽名的密鑰對來簽發(fā)證書。即"自簽名"，這種情況發(fā)生在生成證書的客戶端、簽發(fā)證書的CA都是同一臺(tái)機(jī)器(也是我們大多數(shù)實(shí)驗(yàn)中的情況)，我們可以使用同一個(gè)
密鑰對來進(jìn)行"自簽名"
        2.2) -in file
        需要進(jìn)行處理的PEM格式的證書
        2.3) -out file
        處理結(jié)束后輸出的證書文件
        2.4) -cert file
        用于簽發(fā)的根CA證書
        2.5) -days arg 
        指定簽發(fā)的證書的有效時(shí)間
        2.6) -keyfile arg   
        CA的私鑰證書文件
        2.7) -keyform arg
        CA的根私鑰證書文件格式:
            2.7.1) PEM
            2.7.2) ENGINE 
        2.8) -key arg   
        CA的根私鑰證書文件的解密密碼(如果加密了的話)
        2.9) -config file    
        配置文件
    example1: 利用CA證書簽署請求證書
    openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key  

    3) req: X.509證書簽發(fā)請求(CSR)管理
    openssl req [options] <infile >outfile
        3.1) -inform arg
        輸入文件格式
            3.1.1) DER
            3.1.2) PEM
        3.2) -outform arg   
        輸出文件格式
            3.2.1) DER
            3.2.2) PEM
        3.3) -in arg
        待處理文件
        3.4) -out arg
        待輸出文件
        3.5) -passin        
        用于簽名待生成的請求證書的私鑰文件的解密密碼
        3.6) -key file
        用于簽名待生成的請求證書的私鑰文件
        3.7) -keyform arg  
            3.7.1) DER
            3.7.2) NET
            3.7.3) PEM
        3.8) -new
        新的請求
        3.9) -x509          
        輸出一個(gè)X509格式的證書 
        3.10) -days
        X509證書的有效時(shí)間  
        3.11) -newkey rsa:bits 
        生成一個(gè)bits長度的RSA私鑰文件，用于簽發(fā)  
        3.12) -[digest]
        HASH算法
            3.12.1) md5
            3.12.2) sha1
            3.12.3) md2
            3.12.4) mdc2
            3.12.5) md4
        3.13) -config file   
        指定openssl配置文件
        3.14) -text: text顯示格式
    example1: 利用CA的RSA密鑰創(chuàng)建一個(gè)自簽署的CA證書(X.509結(jié)構(gòu)) 
    openssl req -new -x509 -days 3650 -key server.key -out ca.crt 
    example2: 用server.key生成證書簽署請求CSR(這個(gè)CSR用于之外發(fā)送待CA中心等待簽發(fā))
    openssl req -new -key server.key -out server.csr
    example3: 查看CSR的細(xì)節(jié)
    openssl req -noout -text -in server.csr

    4) genrsa: 生成RSA參數(shù)
    openssl genrsa [args] [numbits]
        [args]
        4.1) 對生成的私鑰文件是否要使用加密算法進(jìn)行對稱加密:
            4.1.1) -des: CBC模式的DES加密
            4.1.2) -des3: CBC模式的DES加密
            4.1.3) -aes128: CBC模式的AES128加密
            4.1.4) -aes192: CBC模式的AES192加密
            4.1.5) -aes256: CBC模式的AES256加密
        4.2) -passout arg: arg為對稱加密(des、des、aes)的密碼(使用這個(gè)參數(shù)就省去了console交互提示輸入密碼的環(huán)節(jié))
        4.3) -out file: 輸出證書私鑰文件
        [numbits]: 密鑰長度
    example: 生成一個(gè)1024位的RSA私鑰，并用DES加密(密碼為1111)，保存為server.key文件
    openssl genrsa -out server.key -passout pass:1111 -des3 1024 

    5) rsa: RSA數(shù)據(jù)管理
    openssl rsa [options] <infile >outfile
        5.1) -inform arg
        輸入密鑰文件格式:
            5.1.1) DER(ASN1)
            5.1.2) NET
            5.1.3) PEM(base64編碼格式)
         5.2) -outform arg
         輸出密鑰文件格式
            5.2.1) DER
            5.2.2) NET
            5.2.3) PEM
        5.3) -in arg
        待處理密鑰文件 
        5.4) -passin arg
        輸入這個(gè)加密密鑰文件的解密密鑰(如果在生成這個(gè)密鑰文件的時(shí)候，選擇了加密算法了的話)
        5.5) -out arg
        待輸出密鑰文件
        5.6) -passout arg  
        如果希望輸出的密鑰文件繼續(xù)使用加密算法的話則指定密碼 
        5.7) -des: CBC模式的DES加密
        5.8) -des3: CBC模式的DES加密
        5.9) -aes128: CBC模式的AES128加密
        5.10) -aes192: CBC模式的AES192加密
        5.11) -aes256: CBC模式的AES256加密
        5.12) -text: 以text形式打印密鑰key數(shù)據(jù) 
        5.13) -noout: 不打印密鑰key數(shù)據(jù) 
        5.14) -pubin: 檢查待處理文件是否為公鑰文件
        5.15) -pubout: 輸出公鑰文件
    example1: 對私鑰文件進(jìn)行解密
    openssl rsa -in server.key -passin pass:111 -out server_nopass.key
    example:2: 利用私鑰文件生成對應(yīng)的公鑰文件
    openssl rsa -in server.key -passin pass:111 -pubout -out server_public.key

    6) x509:
    本指令是一個(gè)功能很豐富的證書處理工具。可以用來顯示證書的內(nèi)容，轉(zhuǎn)換其格式，給CSR簽名等X.509證書的管理工作
    openssl x509 [args]    
        6.1) -inform arg
        待處理X509證書文件格式
            6.1.1) DER
            6.1.2) NET
            6.1.3) PEM
        6.2) -outform arg   
        待輸出X509證書文件格式
            6.2.1) DER
            6.2.2) NET
            6.2.3) PEM
        6.3) -in arg 
        待處理X509證書文件
        6.4) -out arg       
        待輸出X509證書文件
        6.5) -req            
        表明輸入文件是一個(gè)"請求簽發(fā)證書文件(CSR)"，等待進(jìn)行簽發(fā) 
        6.6) -days arg       
        表明將要簽發(fā)的證書的有效時(shí)間 
        6.7) -CA arg 
        指定用于簽發(fā)請求證書的根CA證書 
        6.8) -CAform arg     
        根CA證書格式(默認(rèn)是PEM) 
        6.9) -CAkey arg      
        指定用于簽發(fā)請求證書的CA私鑰證書文件，如果這個(gè)option沒有參數(shù)輸入，那么缺省認(rèn)為私有密鑰在CA證書文件里有
        6.10) -CAkeyform arg  
        指定根CA私鑰證書文件格式(默認(rèn)為PEM格式)
        6.11) -CAserial arg   
        指定序列號(hào)文件(serial number file)
        6.12) -CAcreateserial 
        如果序列號(hào)文件(serial number file)沒有指定，則自動(dòng)創(chuàng)建它     
    example1: 轉(zhuǎn)換DER證書為PEM格式
    openssl x509 -in cert.cer -inform DER -outform PEM -out cert.pem
    example2: 使用根CA證書對"請求簽發(fā)證書"進(jìn)行簽發(fā)，生成x509格式證書
    openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt
    example3: 打印出證書的內(nèi)容
    openssl x509 -in server.crt -noout -text 

    7) crl: crl是用于管理CRL列表 
    openssl crl [args]
        7.1) -inform arg
        輸入文件的格式
            7.1.1) DER(DER編碼的CRL對象)
            7.1.2) PEM(默認(rèn)的格式)(base64編碼的CRL對象)
        7.2) -outform arg
        指定文件的輸出格式 
            7.2.1) DER(DER編碼的CRL對象)
            7.2.2) PEM(默認(rèn)的格式)(base64編碼的CRL對象)
        7.3) -text: 
        以文本格式來打印CRL信息值。
        7.4) -in filename
        指定的輸入文件名。默認(rèn)為標(biāo)準(zhǔn)輸入。
        7.5) -out filename
        指定的輸出文件名。默認(rèn)為標(biāo)準(zhǔn)輸出。
        7.6) -hash
        輸出頒發(fā)者信息值的哈希值。這一項(xiàng)可用于在文件中根據(jù)頒發(fā)者信息值的哈希值來查詢CRL對象。
        7.7) -fingerprint
        打印CRL對象的標(biāo)識(shí)。
        7.8) -issuer
        輸出頒發(fā)者的信息值。
        7.9) -lastupdate
        輸出上一次更新的時(shí)間。
        7.10) -nextupdate
        打印出下一次更新的時(shí)間。 
        7.11) -CAfile file
        指定CA文件，用來驗(yàn)證該CRL對象是否合法。 
        7.12) -verify
        是否驗(yàn)證證書。        
    example1: 輸出CRL文件，包括(頒發(fā)者信息HASH值、上一次更新的時(shí)間、下一次更新的時(shí)間)
    openssl crl -in crl.crl -text -issuer -hash -lastupdate –nextupdate 
    example2: 將PEM格式的CRL文件轉(zhuǎn)換為DER格式
    openssl crl -in crl.pem -outform DER -out crl.der  

    8) crl2pkcs7: 用于CRL和PKCS#7之間的轉(zhuǎn)換 
    openssl crl2pkcs7 [options] <infile >outfile
    轉(zhuǎn)換pem到spc
    openssl crl2pkcs7 -nocrl -certfile venus.pem -outform DER -out venus.spc
    https://www.openssl.org/docs/apps/crl2pkcs7.html

    9) pkcs12: PKCS#12數(shù)據(jù)的管理
    pkcs12文件工具，能生成和分析pkcs12文件。PKCS#12文件可以被用于多個(gè)項(xiàng)目，例如包含Netscape、 MSIE 和 MS Outlook
    openssl pkcs12 [options] 
    http://blog.csdn.net/as3luyuan123/article/details/16105475
    https://www.openssl.org/docs/apps/pkcs12.html

    10) pkcs7: PCKS#7數(shù)據(jù)的管理 
    用于處理DER或者PEM格式的pkcs#7文件
    openssl pkcs7 [options] <infile >outfile
    http://blog.csdn.net/as3luyuan123/article/details/16105407
    https://www.openssl.org/docs/apps/pkcs7.html
 
2. openssl list-message-digest-commands(消息摘要命令)
    1) dgst: dgst用于計(jì)算消息摘要 
    openssl dgst [args]
        1.1) -hex           
        以16進(jìn)制形式輸出摘要
        1.2) -binary        
        以二進(jìn)制形式輸出摘要
        1.3) -sign file    
        以私鑰文件對生成的摘要進(jìn)行簽名
        1.4) -verify file    
        使用公鑰文件對私鑰簽名過的摘要文件進(jìn)行驗(yàn)證 
        1.5) -prverify file  
        以私鑰文件對公鑰簽名過的摘要文件進(jìn)行驗(yàn)證
        verify a signature using private key in file
        1.6) 加密處理
            1.6.1) -md5: MD5 
            1.6.2) -md4: MD4         
            1.6.3) -sha1: SHA1 
            1.6.4) -ripemd160
    example1: 用SHA1算法計(jì)算文件file.txt的哈西值，輸出到stdout
    openssl dgst -sha1 file.txt
    example2: 用dss1算法驗(yàn)證file.txt的數(shù)字簽名dsasign.bin，驗(yàn)證的private key為DSA算法產(chǎn)生的文件dsakey.pem
    openssl dgst -dss1 -prverify dsakey.pem -signature dsasign.bin file.txt

    2) sha1: 用于進(jìn)行RSA處理
    openssl sha1 [args] 
        2.1) -sign file
        用于RSA算法的私鑰文件 
        2.2) -out file
        輸出文件愛你
        2.3) -hex   
        以16進(jìn)制形式輸出
        2.4) -binary
        以二進(jìn)制形式輸出  
    example1: 用SHA1算法計(jì)算文件file.txt的HASH值,輸出到文件digest.txt
    openssl sha1 -out digest.txt file.txt
    example2: 用sha1算法為文件file.txt簽名,輸出到文件rsasign.bin，簽名的private key為RSA算法產(chǎn)生的文件rsaprivate.pem
    openssl sha1 -sign rsaprivate.pem -out rsasign.bin file.txt

3. openssl list-cipher-commands (Cipher命令的列表)
    1) aes-128-cbc
    2) aes-128-ecb
    3) aes-192-cbc
    4) aes-192-ecb
    5) aes-256-cbc
    6) aes-256-ecb
    7) base64
    8) bf
    9) bf-cbc
    10) bf-cfb
    11) bf-ecb
    12) bf-ofb
    13) cast
    14) cast-cbc
    15) cast5-cbc
    16) cast5-cfb
    17) cast5-ecb
    18) cast5-ofb
    19) des
    20) des-cbc
    21) des-cfb
    22) des-ecb
    23) des-ede
    24) des-ede-cbc
    25) des-ede-cfb
    26) des-ede-ofb
    27) des-ede3
    28) des-ede3-cbc
    29) des-ede3-cfb
    30) des-ede3-ofb
    31) des-ofb
    32) des3
    33) desx
    34) rc2
    35) rc2-40-cbc
    36) rc2-64-cbc
    37) rc2-cbc
    38) rc2-cfb
    39) rc2-ecb
    40) rc2-ofb
    41) rc4
    42) rc4-40