OpenSSL是一箇功能強大的命令行工具,可以用來完成公鑰體系以及https相關的諸多任務。新手用戶可能會對OpenSSL命令用法還不太瞭解,本文整理了常用的OpenSSL命令的使用方法,例如生成CSR文件、SSL證書格式轉換等。
有效的SSL證書通常是由可信權威的CA機構頒發的,我們在申請SSL證書前,需利用相關工具來生成一箇證書籤名請求文件(CSR文件),該文件內容主要包括密鑰對中的公鑰、以及其他一些額外信息。
、生成CSR R RSA加密算法
openssl eq -out www_ssl_com.cs -new -sh256 -newkey s:2048 -nodes -keyout www_ssl_com.key
2、生成CSR R ECC加密算法
openssl ecpm -out see.key -nme pime256 -genkey openssl eq -new -key see.key -out see.cs
3、生成自簽發證書命令
openssl eq -x509 -sh256 -nodes -dys 365 -newkey s:2048 -keyout piteKey.key -out cetificte.ct
4、從密鑰生成CSR
openssl eq -out CSR.cs -key piteKey.key -new
5、從證書文件生成CSR
openssl x509 -x509toeq -in cetificte.ct -out CSR.cs -signkey piteKey.key
6、去除Key密碼
openssl s -in piteKey.pem -out newPiteKey.pem
、PEM轉DER
可以將PEM編碼的證書domin.ct轉換爲二進制DER編碼的證書domin.de:
openssl x509 \ -in domin.ct \ -outfom de -out domin.de
DER格式通常用於J。
2、DER轉PEM
同樣,可以將DER編碼的證書(domin.de)轉換爲PEM編碼(domin.ct):
openssl x509 \ -infom de -in domin.de \ -out domin.ct
3、PEM轉PKCS7
將PEM證書(domin.ct和c-chin.ct)添加到一箇PKCS7(domin.p7b)文件中:
openssl cl2pkcs7 -nocl \ -cetfile domin.ct \ -cetfile c-chin.ct \ -out domin.p7b
使用-cetfile選項指定要添加到PKCS7中的證書。
PKCS7文件也被稱爲P7B,通常用於J的Keystoe和微軟的IIS中保存證書的ASCII文件。
4、PKCS7轉換爲PEM
使用下面的命令將PKCS7文件(domin.p7b)轉換爲PEM文件:
openssl pkcs7 \ -in domin.p7b \ -pint_cets -out domin.ct
如果PKCS7文件中包含多箇證書,例如一箇普通證書和一箇中間CA證書,那麼輸出的PEM文件中將包含所有的證書。
5、PEM轉換爲PKCS2
可以將私鑰文件(domin.key)和證書文件(domin.ct)組合起來生成PKCS2 文件(domin.pfx):
openssl pkcs2 \ -inkey domin.key \ -in domin.ct \ -expot -out domin.pfx
上面的命令將提示你輸入導出密碼,可以留空不填。
PKCS2文件也被稱爲PFX文件,通常用於導入/導出微軟IIS中的證書鏈。
6、PKCS2轉換爲PEM
另外,我們還可以將PKCS2文件(domin.pfx)轉換爲PEM格式(domin.combined.ct):
openssl pkcs2 \ -in domin.pfx \ -nodes -out domin.combined.ct
要注意的是,如果PKCS2文件中包含多箇條目,例如證書及其私鑰,那麼生成的PEM文件中將包含所有條目。