首页 > 代码库 > openssl证书

openssl证书

生成密钥

openssl genrsa -out server.key

提取公钥

openssl rsa -in server.key -pubout

生成自签名证书

openssl req -new -x509 -key server.key -out server.crt -days 365

    -new:新的申请

    -key:密钥文件

    -out:保存的文件

    -days:有效期

查看证书内容

openssl x509 -text -in server.crt

配置文件:/etc/pki/tls/openssl.cnf


openssl中有如下后缀名的文件

key格式:私有的密钥

csr格式:证书签名请求(证书请求文件),含有公钥信息,certificate signing request的缩写
crt格式:证书文件,certificate的缩写

crl格式:证书吊销列表,Certificate Revocation List的缩写

pem格式:用于导出,导入证书时候的证书的格式,有证书开头,结尾的格式


使用openssl生成证书步骤

1、建立CA密钥

openssl genrsa -out ca.key 1024    创建密钥

chmod 400 ca.key    修改权限为仅root可以访问

openssl rsa -text -in ca.key    查看创建的证书

2、利用CA密钥自签署CA证书

openssl req -new -x509 -key ca.key -out ca.crt -days 3655

chmod 400 ca.crt

openssl x509 -text -in ca.crt 查看创建的证书

3、创建服务器证书签署申请

openssl genrsa -out server.key    1024

chmod 400 server.key

openssl rsa -text -in server.key

4、利用证书签署申请生成请求

openssl req -new -key server.key -out server.csr

openssl req -text -in server.csr    查看创建的申请

5、进行证书签署

首先要设置openssl的配置文件,并根据配置文件创建相应的目录和文件

mkdir certs newcerts crl

touch index.txt serial

echo 01 > serial

openssl ca -keyfile ca.key -cert ca.crt  -in server.csr -out server.pem

6、证书撤销

openssl ca -keyfile ca.key -cert ca.crt -revoke server.pem

这时数据库证书被标记上撤销表示,需要生成新的证书撤销列表

openssl ca -gencrl -keyfile ca.key -cert ca.crt -out crt/test.crl

查看证书撤销列表

openssl crl -text -in crl/test.crl

证书撤销列表文件要在WEB站点上可以使用,必须将crldays加到证书中

openssl ca -gencrl -config /etc/pki/openssl.cnf -crldays 7 -crtexts crl_ext -out crl/sopac-ca.crl


本文出自 “ngames” 博客,请务必保留此出处http://ngames.blog.51cto.com/3187187/1559201

openssl证书