OpenSSL详解

OpenSSL初接触的人恐怕最难的在于先理解各种概念

公钥/私钥/签名/验证签名/加密/解密/非对称加密

我们一般的加密是用一个密码加密文件,然后解密也用同样的密码这很好理解,这个是对称加密而有些加密时,加密用的一个密码,而解密用另外一组密码,这个叫非对称加密,意思就是加密解密的密码不一样初次接触的人恐怕无论如何都理解不了其实这是数学上的一个素数积求因子的原理的应用,如果你一定要搞懂,百度有大把大把的资料可以看,其结果就是用这一组密钥中的一个来加密数据,可以用另一个解开是的没错,公钥和私钥都可以用来加密数据,相反用另一个解开,公钥加密数据,然后私钥解密的情况被称为加密解密,私钥加密数据,公钥解密一般被称为签名和验证签名

因为公钥加密的数据只有它相对应的私钥可以解开,所以你可以把公钥给人和人,让他加密他想要传送给你的数据,这个数据只有到了有私钥的你这里,才可以解开成有用的数据,其他人就是得到了,也看懂内容同理,如果你用你的私钥对数据进行签名,那这个数据就只有配对的公钥可以解开,有这个私钥的只有你,所以如果配对的公钥解开了数据,就说明这数据是你发的,相反,则不是这个被称为签名

实际应用中,一般都是和对方交换公钥,然后你要发给对方的数据,用他的公钥加密,他得到后用他的私钥解密,他要发给你的数据,用你的公钥加密,你得到后用你的私钥解密,这样最大程度保证了安全性

RSA/DSA/SHA/MD5

非对称加密的算法有很多,比较著名的有RSA/DSA ,不同的是RSA可以用于加/解密,也可以用于签名验签,DSA则只能用于签名至于SHA则是一种和md5相同的算法,它不是用于加密解密或者签名的,它被称为摘要算法就是通过一种算法,依据数据内容生成一种固定长度的摘要,这串摘要值与原数据存在对应关系,就是原数据会生成这个摘要,但是,这个摘要是不能还原成原数据的,嗯,正常情况下是这样的,这个算法起的作用就是,如果你把原数据修改一点点,那么生成的摘要都会不同,传输过程中把原数据给你再给你一个摘要,你把得到的原数据同样做一次摘要算法,与给你的摘要相比较就可以知道这个数据有没有在传输过程中被修改了

实际应用过程中,因为需要加密的数据可能会很大,进行加密费时费力,所以一般都会把原数据先进行摘要,然后对这个摘要值进行加密,将原数据的明文和加密后的摘要值一起传给你这样你解开加密后的摘要值,再和你得到的数据进行的摘要值对应一下就可以知道数据有没有被修改了,而且,因为私钥只有你有,只有你能解密摘要值,所以别人就算把原数据做了修改,然后生成一个假的摘要给你也是不行的,你这边用密钥也根本解不开

CA/PEM/DER/X509/PKCS

一般的公钥不会用明文传输给别人的,正常情况下都会生成一个文件,这个文件就是公钥文件,然后这个文件可以交给其他人用于加密,但是传输过程中如果有人恶意破坏,将你的公钥换成了他的公钥,然后得到公钥的一方加密数据,不是他就可以用他自己的密钥解密看到数据了吗,为了解决这个问题,需要一个公证方来做这个事,任何人都可以找它来确认公钥是谁发的这就是CA,CA确认公钥的原理也很简单,它将它自己的公钥发布给所有人,然后一个想要发布自己公钥的人可以将自己的公钥和一些身份信息发给CA,CA用自己的密钥进行加密,这里也可以称为签名然后这个包含了你的公钥和你的信息的文件就可以称为证书文件了这样一来所有得到一些公钥文件的人,通过CA的公钥解密了文件,如果正常解密那么机密后里面的信息一定是真的,因为加密方只可能是CA,其他人没它的密钥啊这样你解开公钥文件,看看里面的信息就知道这个是不是那个你需要用来加密的公钥了

实际应用中,一般人都不会找CA去签名,因为那是收钱的,所以可以自己做一个自签名的证书文件,就是自己生成一对密钥,然后再用自己生成的另外一对密钥对这对密钥进行签名,这个只用于真正需要签名证书的人,普通的加密解密数据,直接用公钥和私钥来做就可以了

密钥文件的格式用OpenSSL生成的就只有PEM和DER两种格式,PEM的是将密钥用base64编码表示出来的,直接打开你能看到一串的英文字母,DER格式是二进制的密钥文件,直接打开,你可以看到你什么也看不懂!X509是通用的证书文件格式定义pkcs的一系列标准是指定的存放密钥的文件标准,你只要知道PEM DER X509 PKCS这几种格式是可以互相转化的

== End http://wwwcnblogscom/phpinfo/archive/2013/08/09/3246376html ==

为了方便理解，我画了一个图，如下：

使用 openssl 生成证书（含openssl详解）

一、openssl 简介

openssl 是目前最流行的 SSL 密码库工具，其提供了一个通用、健壮、功能完备的工具套件，用以支持SSL/TLS 协议的实现。

官网： https://wwwopensslorg/source/

构成部分

密码算法库

密钥和证书封装管理功能

SSL通信API接口

用途

建立 RSA、DH、DSA key 参数

建立 X509 证书、证书签名请求(CSR)和CRLs(证书回收列表)

计算消息摘要

使用各种 Cipher加密/解密

SSL/TLS 客户端以及服务器的测试

处理S/MIME 或者加密邮件

二、RSA密钥操作

默认情况下，openssl 输出格式为 PKCS#1-PEM

生成RSA私钥(无加密)

openssl genrsa -out rsa_privatekey 2048

生成RSA公钥

openssl rsa -in rsa_privatekey -pubout -out rsa_publickey

生成RSA私钥(使用aes256加密)

openssl genrsa -aes256 -passout pass:111111 -out rsa_aes_privatekey 2048

其中 passout 代替shell 进行密码输入，否则会提示输入密码；

生成加密后的内容如：

-----BEGIN RSA PRIVATE KEY-----

Proc-Type: 4,ENCRYPTED

DEK-Info: AES-256-CBC,5584D000DDDD53DD5B12AE935F05A007

Base64 Encoded

Data-----END RSA PRIVATE KEY-----

此时若生成公钥，需要提供密码

openssl rsa -in rsa_aes_privatekey -passin pass:111111 -pubout -out rsa_publickey

其中 passout 代替shell 进行密码输入，否则会提示输入密码；

转换命令

私钥转非加密

openssl rsa -in rsa_aes_privatekey -passin pass:111111 -out rsa_privatekey

私钥转加密

openssl rsa -in rsa_privatekey -aes256 -passout pass:111111 -out rsa_aes_privatekey

私钥PEM转DER

openssl rsa -in rsa_privatekey -outform der-out rsa_aes_privateder

-inform和-outform 参数制定输入输出格式，由der转pem格式同理

查看私钥明细

openssl rsa -in rsa_privatekey -noout -text

使用-pubin参数可查看公钥明细

私钥PKCS#1转PKCS#8

openssl pkcs8 -topk8 -in rsa_privatekey -passout pass:111111 -out pkcs8_privatekey

其中-passout指定了密码，输出的pkcs8格式密钥为加密形式，pkcs8默认采用des3 加密算法，内容如下：

-----BEGIN ENCRYPTED PRIVATE KEY-----

Base64 Encoded Data

-----END ENCRYPTED PRIVATE KEY-----

使用-nocrypt参数可以输出无加密的pkcs8密钥，如下：

-----BEGIN PRIVATE KEY-----

Base64 Encoded Data

-----END PRIVATE KEY-----

三、生成CA自签名证书和RSA私钥(测试场景步骤)

测试场景步骤1：生成 RSA 私钥和自签名证书：

openssl req -newkey rsa:2048 -nodes -keyout rsa_privatekey -x509 -days 36500 -out certcrt

注释：

操作步骤如下：提示填写过程中如果想删除填写的内容，用ctrl+Backspace删除前面的字符

[root@szxelab01-web-100 cert]# openssl req -newkey rsa:2048 -nodes -keyout rsa_privatekey -x509 -days 36500 -out certcrt

Generating a 2048 bit RSA private key

+++

+++

writing new private key to 'rsa_privatekey'

You are about to be asked to enter information that will be incorporated

into your certificate request

What you are about to enter is what is called a Distinguished Name or a DN

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '', the field will be left blank

Country Name (2 letter code) [XX]:CN

State or Province Name (full name) []:GuangDong

Locality Name (eg, city) [Default City]:ShenZhen

Organization Name (eg, company) [Default Company Ltd]:SunFoBank

Organizational Unit Name (eg, section) []:IT Dept

Common Name (eg, your name or your server's hostname) []:sunfobankcom

Email Address [] :admin@sunfobankcom

[root@szxjdwins01-web-27 cert]# ll

total 8

-rw-r--r-- 1 root root 1452 Jun 22 14:29 certcrt

-rw-r--r-- 1 root root 1708 Jun 22 14:29 rsa_privatekey

openssl req -newkey rsa:2048 -nodes -keyout rsa_privatekey -x509 -days 36500 -out certcrt -subj "/C=CN/ST=GuangDong/L=ShenZhen/O=SunFoBank/OU=IT Dept/CN= sunfobankcom/emailAddress=admin@sunfobankcom "

openssl req -new -x509 -days 36500 -key rsa_privatekey -out certcrt

四、生成服务器签名请求文件及CA 签名颁发服务器证书（）

serverkey建议不要加密码，如果加密码，重启nginx的时候每次都需要密码才可以启动nginx影响效率。

nginx配置只需要serverkey和servercrt两个文件。

openssl genrsa -aes256 -passout pass:111111 -out serverkey 2048

openssl req -new -key serverkey -out servercsr

[root@szxjdwins01-web-27 cert]# openssl genrsa -aes256 -passout pass:111111 -out serverkey 2048

Generating RSA private key, 2048 bit long modulus

+++

+++

e is 65537 (0x10001)

[root@szxjdwins01-web-27 cert]# openssl genrsa -aes256 -out serverkey 2048

Generating RSA private key, 2048 bit long modulus

+++

+++

e is 65537 (0x10001)

Enter pass phrase for serverkey: 111111手动输入密码

Verifying - Enter pass phrase for serverkey: 111111手动输入密码

[root@szxelab01-web-27 cert]# openssl req -new -key serverkey -out servercsr

Enter pass phrase for serverkey:

You are about to be asked to enter information that will be incorporated

into your certificate request

What you are about to enter is what is called a Distinguished Name or a DN

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '', the field will be left blank

Country Name (2 letter code) [XX]:CN

State or Province Name (full name) []:GuangDong

Locality Name (eg, city) [Default City]:ShenZhen

Organization Name (eg, company) [Default Company Ltd]:SunFoBank

Organizational Unit Name (eg, section) []:IT Dept

Common Name (eg, your name or your server's hostname) []:sunfobankcom

Email Address [] :admin@sunfobankcom

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []: 不输入密码

An optional company name []: 不输入密码

此后输入密码、server证书信息完成，也可以命令行指定各类参数

openssl req -new -key serverkey -passin pass:111111 -out servercsr -subj "/C=CN/ST=GuangDong/L=ShenZhen/O=SunFoBank/OU=IT Dept/CN= sunfobankcom/emailAddress=admin@sunfobankcom "

此时生成的 csr签名请求文件可提交至 CA进行签发

cat servercsr

-----BEGIN CERTIFICATE REQUEST-----

Base64EncodedData

-----END CERTIFICATE REQUEST-----

openssl req -noout -text -in servercsr

openssl x509 -req -days 365000 -in servercsr -CA certcrt -CAkey rsa_privatekey -passin pass:111111 -CAcreateserial -out servercrt

[root@szxelab01-web-27 cert]# openssl x509 -req -days 365000 -in servercsr -CA certcrt -CAkey rsa_privatekey -passin pass:111111 -CAcreateserial -out servercrt

Signature ok

subject=/C=CN/ST=GuangDong/L=ShenZhen/O=SunFoBank/OU=IT Dept/CN= sunfobankcom/emailAddress=admin@sunfobankcom

Getting CA Private Key

其中 CAxxx 选项用于指定CA 参数输入

[root@szxelab01-web-27 cert]# ll

total 24

-rw-r--r-- 1 root root 1452 Jun 22 14:29 certcrt

-rw-r--r-- 1 root root 17 Jun 22 15:07 certsrl

-rw-r--r-- 1 root root 1708 Jun 22 14:29 rsa_privatekey

-rw-r--r-- 1 root root 1334 Jun 22 15:07 servercrt

-rw-r--r-- 1 root root 1070 Jun 22 15:04 servercsr

-rw-r--r-- 1 root root 1766 Jun 22 14:54 serverkey

此时对nginx任何操作，都需要提示输入serverkey的密码才可以执行。

[root@szxelab01-web-27 nginx]# /application/nginx/sbin/nginx -t

Enter PEM pass phrase: 输入密码111111

nginx: the configuration file /application/nginx-1122//conf/nginxconf syntax is ok

为例不输入密码，需要把加密serverkey转换成不加密的serverkey

[root@szxelab01-web-27 cert]# openssl rsa -in serverkey -passin pass:111111 -out serverkey

writing RSA key

此时nginx操作就不提示输入密码了：

[root@szxelab01-web-27 cert]# /application/nginx/sbin/nginx -t

nginx: the configuration file /application/nginx-1122//conf/nginxconf syntax is ok

nginx: configuration file /application/nginx-1122//conf/nginxconf test is successful

证书位置：

[root@szxelab01-web-27 cert]# pwd

/application/nginx/cert

[root@szxelab01-web-27 cert]# ll

total 24

-rw-r--r-- 1 root root 1452 Jun 22 14:29 certcrt

-rw-r--r-- 1 root root 17 Jun 22 15:07 certsrl

-rw-r--r-- 1 root root 1708 Jun 22 14:29 rsa_privatekey

-rw-r--r-- 1 root root 1334 Jun 22 15:07 servercrt

-rw-r--r-- 1 root root 1070 Jun 22 15:04 servercsr

-rw-r--r-- 1 root root 1679 Jun 22 15:19 serverkey

至此测试场景私有证书配置完成

五、证书查看及转换

查看证书细节

openssl x509 -in certcrt -noout -text

转换证书编码格式

openssl x509 -in certcer -inform DER -outform PEM -out certpem

合成 pkcs#12 证书(含私钥)

将 pem 证书和私钥转 pkcs#12 证书

openssl pkcs12 -export -in servercrt -inkey serverkey -passin pass:111111 -password pass:111111 -out serverp12

其中-export指导出pkcs#12 证书，-inkey 指定了私钥文件，-passin 为私钥(文件)密码(nodes为无加密)，-password 指定 p12文件的密码(导入导出)

将 pem 证书和私钥/CA 证书 合成pkcs#12 证书

openssl pkcs12 -export -in servercrt -inkey serverkey -passin pass:111111 \ -chain -CAfile cacrt -password pass:111111 -out server-allp12

其中-chain指示同时添加证书链，-CAfile 指定了CA证书，导出的p12文件将包含多个证书。(其他选项：-name可用于指定server证书别名；-caname用于指定ca证书别名)

pcks#12 提取PEM文件(含私钥)

openssl pkcs12 -in serverp12 -password pass:111111 -passout pass:111111 -out out/serverpem

其中-password 指定 p12文件的密码(导入导出)，-passout指输出私钥的加密密码(nodes为无加密)

导出的文件为pem格式，同时包含证书和私钥(pkcs#8)：

Bag Attributes

localKeyID: 97 DD 46 3D 1E 91 EF 01 3B 2E 4A 75 81 4F 11 A6 E7 1F 79 40 subject=/C=CN/ST=GD/L=SZ/O=vihoo/OU=dev/CN= vihoocom/emailAddress=yy@vihoocom

issuer=/C=CN/ST=GD/L=SZ/O=viroot/OU=dev/CN= virootcom/emailAddress=yy@virootcom-----BEGIN CERTIFICATE-----MIIDazCCAlMCCQCIOlA9/dcfEjANBgkqhkiG9w0BAQUFADB5MQswCQYDVQQGEwJD

1LpQCA+2B6dn4scZwaCD-----END CERTIFICATE-----Bag Attributes

localKeyID: 97 DD 46 3D 1E 91 EF 01 3B 2E 4A 75 81 4F 11 A6 E7 1F 79 40 Key Attributes: <No Attributes>

-----BEGIN ENCRYPTED PRIVATE KEY-----MIIEvAIBADANBgkqhkiG9w0BAQEFAASCBKYwggSiAgEAAoIBAQDC/6rAc1YaPRNf

K9ZLHbyBTKVaxehjxzJHHw==

-----END ENCRYPTED PRIVATE KEY-----

仅提取私钥

openssl pkcs12 -in serverp12 -password pass:111111 -passout pass:111111 -nocerts -out out/keypem

仅提取证书(所有证书)

openssl pkcs12 -in serverp12 -password pass:111111 -nokeys -out out/keypem

仅提取ca证书

openssl pkcs12 -in server-allp12 -password pass:111111 -nokeys -cacerts -out out/cacertpem

仅提取server证书

openssl pkcs12 -in server-allp12 -password pass:111111 -nokeys -clcerts -out out/certpem

六、openssl 命令参考

Bachelor Airmen's Quarters的首字母缩写，单身空军人员宿舍。

1、读音：美 [ˈbætʃələr ˈɛrˌmɛnz ˈkwɔːrtərz]  

2、语法：bachelor特指“适婚而未婚的男子”，即“单身汉”，多指未曾结过婚的，有时也用来指离异或丧偶后未娶的，与之对应的阴性名词是spinster。uarter的基本意思是“四分之一，四等分”，可以用来指距离、数量、价格及物体的四分之一的量，也可专指时间的“一刻钟，十五分钟”。

近义词：Single air force dormitory

1、读音：英 [ˈsɪŋɡl ˈeə fɔːs ˈdɔːmətri]

2、释义：空军单间宿舍。

3、语法：single的基本意思是“选出”“挑出”，多指慎重地从若干人〔物〕中间挑选出适合要求的某一个人〔物〕。single的意思是“单一的，单个的”，不伴随、不依傍、不参与其他事物，引申可指“单人的，未婚的，独身的”等。