OpenSSL常用命令有哪些 OpenSSL命令用法

OpenSSL是一个功能强大的命令行工具，可以用来完成公钥体系以及https相关的诸多任务。新手用户可能会对OpenSSL命令用法还不太了解，本文整理了常用的OpenSSL命令的使用方法，例如生成CSR文件、SSLssl/' target='_blank'>证书格式转换等。

一、使用OpenSSL命令生成CSR文件

有效的SSL证书通常是由可信权威的CA机构颁发的，我们在申请SSL证书前，需利用相关工具来生成一个证书签名请求文件（CSR文件），该文件内容主要包括密钥对中的公钥、以及其他一些额外信息。

1、生成CSR – RSA加密算法

openssl req -out www_sslaaa_com.csr -new -sha256 -newkey rsa:2048 -nodes -keyout www_sslaaa_com.key

2、生成CSR – ECC加密算法

openssl ecparam -out server.key -name prime256v1 -genkey
openssl req -new -key server.key -out server.csr

3、生成自签发证书命令

openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout privateKey.key -out certificate.crt

4、从密钥生成CSR

openssl req -out CSR.csr -key privateKey.key -new

5、从证书文件生成CSR

openssl x509 -x509toreq -in certificate.crt -out CSR.csr -signkey privateKey.key

6、去除Key密码

openssl rsa -in privateKey.pem -out newPrivateKey.pem

二、SSL证书常见格式转换

1、PEM转DER

可以将PEM编码的证书domain.crt转换为二进制DER编码的证书domain.der：

openssl x509
-in domain.crt
-outform der -out domain.der

DER格式通常用于Java。

2、DER转PEM

同样，可以将DER编码的证书（domain.der）转换为PEM编码（domain.crt）：

openssl x509
-inform der -in domain.der
-out domain.crt

3、PEM转PKCS7

将PEM证书（domain.crt和ca-chain.crt）添加到一个PKCS7（domain.p7b）文件中：

openssl crl2pkcs7 -nocrl
-certfile domain.crt
-certfile ca-chain.crt
-out domain.p7b

使用-certfile选项指定要添加到PKCS7中的证书。

PKCS7文件也被称为P7B，通常用于Java的Keystore和微软的IIS中保存证书的ASCII文件。

4、PKCS7转换为PEM

使用下面的命令将PKCS7文件（domain.p7b）转换为PEM文件：

openssl pkcs7
-in domain.p7b
-print_certs -out domain.crt

如果PKCS7文件中包含多个证书，例如一个普通证书和一个中间CA证书，那么输出的PEM文件中将包含所有的证书。

5、PEM转换为PKCS12

可以将私钥文件（domain.key）和证书文件（domain.crt）组合起来生成PKCS12 文件（domain.pfx）：

openssl pkcs12
-inkey domain.key
-in domain.crt
-export -out domain.pfx

上面的命令将提示你输入导出密码，可以留空不填。

PKCS12文件也被称为PFX文件，通常用于导入/导出微软IIS中的证书链。

6、PKCS12转换为PEM

另外，我们还可以将PKCS12文件（domain.pfx）转换为PEM格式（domain.combined.crt）：

openssl pkcs12
-in domain.pfx
-nodes -out domain.combined.crt

要注意的是，如果PKCS12文件中包含多个条目，例如证书及其私钥，那么生成的PEM文件中将包含所有条目。

来源链接：https://www.idcspy.com/47601.html

本站声明:网站内容来源于网络,如有侵权,请联系我们,我们将及时处理。