資源描述:
《Linux下OpenSSL客戶端中使用req命令來生成證書的教程》由會(huì)員上傳分享,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在教育資源-天天文庫。
1�、Linux下OpenSSL客戶端中使用req命令來生成證書的教程作者:Gordon0918字體:[增加?減小]來源:開源中文社區(qū)時(shí)間:04-2211:56:58?我要評(píng)論這篇文章主要介紹了Linux下OpenSSL客戶端中使用req命令來生成證書的教程,詳細(xì)講解了自動(dòng)生成密鑰和生成自簽名證書的方法,需要的朋友可以參考下opensslreq用于生成證書請(qǐng)求,以讓第三方權(quán)威機(jī)構(gòu)CA來簽發(fā)���,生成我們需要的證書��。req命令也可以調(diào)用x509命令��,以進(jìn)行格式轉(zhuǎn)換及顯示證書文件中的text��,modulus等信息����。如果你還沒有密鑰對(duì)��,req
2��、命令可以一統(tǒng)幫你生成密鑰對(duì)和證書請(qǐng)求���,也可以指定是否對(duì)私鑰文件進(jìn)行加密����。1、密鑰�����、證書請(qǐng)求��、證書概要說明在證書申請(qǐng)簽發(fā)過程中�,客戶端涉及到密鑰、證書請(qǐng)求����、證書這幾個(gè)概念,初學(xué)者可能會(huì)搞不清楚三者的關(guān)系�,網(wǎng)上有的根據(jù)后綴名來區(qū)分三者,更讓人一頭霧水���。我們以申請(qǐng)證書的流程說明三者的關(guān)系���。客戶端(相對(duì)于CA)在申請(qǐng)證書的時(shí)候�,大體上有三個(gè)步驟:第一步:生成客戶端的密鑰�����,即客戶端的公私鑰對(duì),且要保證私鑰只有客戶端自己擁有�����。第二步:以客戶端的密鑰和客戶端自身的信息(國家�、機(jī)構(gòu)、域名���、郵箱等)為輸入���,生成證書請(qǐng)求文件。其中客戶端的公鑰和客
3�、戶端信息是明文保存在證書請(qǐng)求文件中的,而客戶端私鑰的作用是對(duì)客戶端公鑰及客戶端信息做簽名�����,自身是不包含在證書請(qǐng)求中的��。然后把證書請(qǐng)求文件發(fā)送給CA機(jī)構(gòu)����。第三步:CA機(jī)構(gòu)接收到客戶端的證書請(qǐng)求文件后,首先校驗(yàn)其簽名�,然后審核客戶端的信息����,最后CA機(jī)構(gòu)使用自己的私鑰為證書請(qǐng)求文件簽名����,生成證書文件,下發(fā)給客戶端����。此證書就是客戶端的身份證,來表明用戶的身份��。至此客戶端申請(qǐng)證書流程結(jié)束�,其中涉及到證書簽發(fā)機(jī)構(gòu)CA,CA是被絕對(duì)信任的機(jī)構(gòu)�。如果把客戶端證書比作用戶身份證,那么CA就是頒發(fā)身份證的機(jī)構(gòu)���,我們以https為例說明證書的用處�。
4�、為了數(shù)據(jù)傳輸安全,越來越多的網(wǎng)站啟用https���。在https握手階段�����,服務(wù)器首先把自己的證書發(fā)送給用戶(瀏覽器)���,瀏覽器查看證書中的發(fā)證機(jī)構(gòu),然后在機(jī)器內(nèi)置的證書中(在PC或者手機(jī)上���,內(nèi)置了世界上著名的CA機(jī)構(gòu)的證書)查找對(duì)應(yīng)CA證書�,然后使用內(nèi)置的證書公鑰校驗(yàn)服務(wù)器的證書真?zhèn)?��。如果校?yàn)失敗�,瀏覽器會(huì)提示服務(wù)器證書有問題�����,詢問用戶是否繼續(xù)�。例如12306網(wǎng)站,它使用的自簽名的證書�,所以瀏覽器會(huì)提示證書有問題,在12306的網(wǎng)站上有提示下載安裝根證書�,其用戶就是把自己的根證書安裝到用戶機(jī)器的內(nèi)置證書中,這樣瀏覽器就不會(huì)報(bào)證書錯(cuò)誤
5、���。但是注意�����,除非特別相信某個(gè)機(jī)構(gòu)�����,否則不要在機(jī)器上隨便導(dǎo)入證書�����,很危險(xiǎn)���。2、req指令說明上一節(jié)我們看到了申請(qǐng)證書流程����,生成密鑰對(duì)我們已經(jīng)知道,那么如何生成證書請(qǐng)求呢��,req指令就該上場(chǎng)了����,我們可以查看req的man手冊(cè)��,如下:opensslreq[-informPEM
6����、DER][-outformPEM
7����、DER][-infilename][-passinarg][-outfilename][-passoutarg][-text][-pubkey][-noout][-verify][-modulus][-new][-randfi
8��、le(s)][-newkeyrsa:bits][-newkeyalg:file][-nodes][-keyfilename][-keyformPEM
9�、DER][-keyoutfilename][-keygen_engineid][-[digest]][-configfilename][-subjarg][-multivalue-rdn][-x509][-daysn][-set_serialn][-asn1-kludge][-no-asn1-kludge][-newhdr][-extensionssection][-reqext
10、ssection][-utf8][-nameopt][-reqopt][-subject][-subjarg][-batch][-verbose][-engineid]發(fā)現(xiàn)其參數(shù)多而復(fù)雜���,還有許多沒有用到過的參數(shù)�����。但是在實(shí)際應(yīng)用中我們使用到的參數(shù)很有限�����,我們根據(jù)req的基本功能來學(xué)習(xí)���。req的基本功能主要有兩個(gè):生成證書請(qǐng)求和生成自簽名證書�。其他還有一些校驗(yàn)����、查看請(qǐng)求文件等功能,示例會(huì)簡單說明下���。參數(shù)說明如下[new/x509]當(dāng)使用-new選取的時(shí)候����,說明是要生成證書請(qǐng)求��,當(dāng)使用x509選項(xiàng)的時(shí)候�����,說明是要生成自簽名證書���。[
11�、key/newkey/keyout]key和newkey是互斥的���,key是指定已有的密鑰文件��,而newkey是指在生成證書請(qǐng)求或者自簽名證書的時(shí)候自動(dòng)生成密鑰����,然后生成的密鑰名稱有keyout參數(shù)指定。當(dāng)指定newkey選項(xiàng)時(shí)����,后面指定rsa:bits說明產(chǎn)生rsa密鑰,位數(shù)
