最常见的OpenSSL命令(一)

简介: 最通用的SSL工具之一是OpenSSL,它是SSL协议的开源实现。几乎每个平台都有OpenSSL版本,包括Windows,Linux和Mac OS X.OpenSSL通常用于为许多不同平台(包括Apache)创建CSR和私钥。但是,它还有数百种不同的功能,允许您查看CSR或证书的详细信息,比较证书的MD5哈希和私钥(以确保它们匹配),验证证书是否在任何网站上正确安装,并将证书转换为其他格式。可以在此处找到OpenSSL for Windows的编译版本。

最通用的SSL工具之一是OpenSSL,它是SSL协议的开源实现。几乎每个平台都有OpenSSL版本,包括Windows,Linux和Mac OS X.OpenSSL通常用于为许多不同平台(包括Apache)创建CSR和私钥。但是,它还有数百种不同的功能,允许您查看CSR或证书的详细信息,比较证书的MD5哈希和私钥(以确保它们匹配),验证证书是否在任何网站上正确安装,并将证书转换为其他格式。可以在此处找到OpenSSL for Windows的编译版本。

如果您不想打扰OpenSSL,可以使用我们的SSL证书工具执行许多相同的操作。下面,我们列出了最常见的OpenSSL命令及其用法:


常规OpenSSL命令


这些命令允许您生成CSR,证书,私钥以及执行其他其他任务。


Base64编解码

编码:

echo "我是一片云 天空是我家\n朝迎旭日升 暮送夕阳下" | openssl enc -base64

输出:

5oiR5piv5LiA54mH5LqRIOWkqeepuuaYr+aIkeWutlxu5pyd6L+O5pet5pel5Y2H
44CA5pqu6YCB5aSV6Ziz5LiLCg==

对上面的字符串解码

echo '5oiR5piv5LiA54mH5LqRIOWkqeepuuaYr+aIkeWutlxu5pyd6L+O5pet5pel5Y2H
44CA5pqu6YCB5aSV6Ziz5LiLCg==' |openssl enc -base64 -d

输出:

我是一片云 天空是我家\n朝迎旭日升 暮送夕阳下
注意:这里编码和解码都是用的 enc 命令,只是解码加了 -d参数。


md5摘要

形成摘要:

echo "我是一片云 天空是我家 朝迎旭日升 暮送夕阳下" | openssl md5

输出

(stdin)= 2418617a0586d93db1db5e43260a43bb

校验摘要:

再生成一次,对比生成的字符串。


生成服务器端 web 服务器密码

用于基本验证访问的服务器密码, 密码只能是8位, 多了会有警告。

openssl passwd -crypt yourpass

会生成

U0tfb.p0Pit5I

重复执行上面的指令时密码会有变化。所以密码是有随机变量在里面。

保存到 ·/etc/nginx/conf.d/pass`文件中

$ cat /etc/nginx/conf.d/pass
youradmin:U0tfb.p0Pit5I

密码文件是 用户名:加密密码 的格式存储的。


Nginx服务器的配置

server {
        server_name  yourserver.cn;
        root /var/www/webapps/;
        index index.html index.htm;
        location / {
                auth_basic "server login auth";
                auth_basic_user_file conf.d/pass;
...

这样就能通过基本验证, 保护服务器的内容只能在输入密码的情况下进行访问。


生成新的私钥和证书签名请求

证书请求:

openssl req -out CSR.csr -new -newkey rsa:2048 -nodes -keyout privateKey.key

随后可以把证书请求发给颁发机构来完成证书的生成(准备好钱哟)。

如果仅是测试用,可以生成自签名证书(不花钱,但要手动导入浏览器)


可以通过以下命令执行此操作:

openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365

如果您不想使用密码来保护私钥,也可以添加-nodes(的缩写no DES)。否则,它将提示您输入“至少4个字符”的密码。

days您可以将参数(365天)替换为任何数字以修改到期日期。然后,它将提示您输入“国家名称”之类的内容,但是您只需点击Enter并接受默认值即可。

添加-subj '/CN=localhost'以消除关于证书内容的问题(替换localhost为所需的域)。


对于在自动化中使用此工具的其他人,这里是该主题的所有常用参数:-subj "/C=US/ST=Oregon/L=Portland/O=Company Name/OU=Org/CN=www.example.com"

除非您以前将自签名证书导入浏览器,否则它们不会与任何第三方进行验证。如果需要更高的安全性,则应使用由证书颁发机构(CA)签名的证书

如果没钱(比如我),可以用 let's encrypt 。只要您的Web服务器可以通过Internet上的端口80上的FQDN对其进行访问,您就可以使用LetsEncrypt并获得免费的完整CA证书(有效期为90天,可以自动更新),该证书不会给出任何浏览器警告/消息。不过这已经和OpenSSL没啥关系了。

为现有私钥生成证书签名请求(CSR)

openssl req -key mydomain.key -new -out mydomain.csr

根据现有证书生成证书签名请求

 

openssl x509 -x509toreq -in certificate.crt -out CSR.csr -signkey privateKey.key

从私钥中删除密码

openssl rsa -in privateKey.pem -out newPrivateKey.pem



相关文章
|
7月前
|
安全 Shell 网络安全
openssh和openssl的区别是什么?
【4月更文挑战第14天】openssh和openssl的区别是什么?
945 0
|
7月前
|
算法 安全 网络安全
Openssl
Openssl
146 0
|
2月前
|
算法 安全 网络安全
OpenSSL
【10月更文挑战第4天】OpenSSL
90 4
|
7月前
|
网络安全 数据安全/隐私保护
|
应用服务中间件 网络安全 数据安全/隐私保护
|
应用服务中间件 Linux 网络安全
最常见的OpenSSL命令(二)
最通用的SSL工具之一是OpenSSL,它是SSL协议的开源实现。几乎每个平台都有OpenSSL版本,包括Windows,Linux和Mac OS X.OpenSSL通常用于为许多不同平台(包括Apache)创建CSR和私钥。但是,它还有数百种不同的功能,允许您查看CSR或证书的详细信息,比较证书的MD5哈希和私钥(以确保它们匹配),验证证书是否在任何网站上正确安装,并将证书转换为其他格式。可以在此处找到OpenSSL for Windows的编译版本。
459 0
|
算法 数据安全/隐私保护
|
算法 网络安全 数据安全/隐私保护