RSA密钥证书的生成

@@rsa 密钥 生成

首先需要下载OpenSSL软件，一直点击下一步就好，链接：

链接：https://pan.baidu.com/s/1uHNpKGF9j9c1bQ6QAwtpOA
提取码：myit
（百度网盘分享无须官网下载，如若不好使请私信或者评论）

启动位置是在你软件安装的位置下，找到bin目录，然后在上方文件位置直接输入cmd，或者打开dos窗口通过命令进入bin目录

1.生成RSA私钥（无加密）

openssl genrsa -out rsa_private.key 2048
2.生成RSA公钥

openssl rsa -in rsa_private.key -pubout -out rsa_public.key
生成RSA私钥（使用ase256加密）

openssl genrsa -aes256 -passout pass:111111 -out rsa_aes_private.key 2048
其中passout 代替shell 进行密码输入，否则会提示输入密码，（小白可以忽略），生成的加密内容如：

-----BEGIN RSA PRIVATE KEY-----Proc-Type: 4,ENCRYPTED
DEK-Info: AES-256-CBC,5584D000DDDD53DD5B12AE935F05A007
Base64 Encoded Data-----END RSA PRIVATE KEY-----
转换命令：（下面的转换其实对于刚开始了解这个没有太大必要，自己看情况定，多会一点肯定是好的）

私钥转非加密

openssl rsa -in rsa_aes_private.key -passin pass:111111 -out rsa_private.key
私钥转加密

openssl rsa -in rsa_private.key -aes256 -passout pass:111111 -out rsa_aes_private.key
私钥PEM转DER

openssl rsa -in rsa_private.key -outform der-out rsa_aes_private.der
-inform和-outform 参数制定输入输出格式，由der转pem格式同理；

查看私钥明细

openssl rsa -in rsa_private.key -noout -text
使用-pubin参数可查看公钥明细

私钥PKCS#1转PKCS#8

openssl pkcs8 -topk8 -in rsa_private.key -passout pass:111111 -out pkcs8_private.key
其中-passout指定了密码，输出的pkcs8格式密钥为加密形式，pkcs8默认采用des3 加密算法，内容如下：

-----BEGIN ENCRYPTED PRIVATE KEY-----Base64 Encoded Data-----END ENCRYPTED PRIVATE KEY-----
使用-nocrypt参数可以输出无加密的pkcs8密钥，如下：

-----BEGIN PRIVATE KEY-----Base64 Encoded Data-----END PRIVATE KEY-----
3.生成 RSA 私钥和自签名证书

openssl req -newkey rsa:2048 -nodes -keyout rsa_private.key -x509 -days 365 -out cert.crt
req是证书请求的子命令，-newkey rsa:2048 -keyout private_key.pem 表示生成私钥(PKCS8格式)，-nodes 表示私钥不加密，若不带参数将提示输入密码；
-x509表示输出证书，-days365 为有效期，此后根据提示输入证书拥有者信息；
若执行自动输入，可使用-subj选项：

openssl req -newkey rsa:2048 -nodes -keyout rsa_private.key -x509 -days 365 -out cert.crt -subj "/C=CN/ST=GD/L=SZ/O=vihoo/OU=dev/CN=vivo.com/[email protected]"
4. 使用 已有RSA 私钥生成自签名证书

openssl req -new -x509 -days 365 -key rsa_private.key -out cert.crt
-new 指生成证书请求，加上-x509 表示直接输出证书，-key 指定私钥文件，其余选项与上述命令相同

如果只需要使用openssl生成rsa证书，直接执行如下命令即可：

1. 生成RSA私钥(无加密)

openssl genrsa -out rsa_private.key 2048
2. 生成RSA公钥

openssl rsa -in rsa_private.key -pubout -out rsa_public.key
3. 使用 已有RSA 私钥生成自签名证书

openssl req -new -x509 -days 365 -key rsa_private.key -out cert.crt
openssl的常用命令
查询openssl版本
#openssl version

私钥格式转换
# openssl rsa -in ca.key.pem -inform PEM -out ca.key.der -outform DER

证书格式转换(pem --> der)
# openssl x509 -in ca.cer -inform PEM -out ca.der -outform DER

证书格式转换（pem --> p12）
# openssl pkcs12 -export -out test.p12 -inkey private.key -in certificate.pem

查看证书或ca
# openssl x509 -noout -text -in server.cer

CA与签发的证书的验证（root-ca.crt 签发 sub-ca.crt, sub-ca.crt签发server.crt,combine.crt是root-ca.crt与sub-ca.crt的合成）：
# cat sub-ca.crt root-ca.crt > combine.crt
# openssl verify -verbose -CAfile combine.crt server.crt


利用openssl单向认证过程：
# openssl s_server -accept 809 -debug -msg -bugs -www -CAfile ca.cer -cert server.cer -key server.key


利用openssl双向认证过程：
# openssl s_server -port 8002 -cert server.cer -key server.key -CAfile ca.cer -debug
# openssl s_client -host 127.0.0.1 -port 8002 -cert client.cer -key client.key -CAfile ca.cer -debug
原文：https://www.cnblogs.com/wjqhuaxia/p/13829680.html
————————————————
版权声明：本文为CSDN博主「晚上的星星最好看」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/weixin_43369218/article/details/118520383