当前位置: 首页 > article >正文

OpenSSL 常见用法与命令输出解析

article 2025/1/5 4:52:08

1. OpenSSL 常见用法

1.1 查看 OpenSSL 版本

openssl version

输出示例:

OpenSSL 1.1.1k  25 Mar 2021
  • 用途:
    • 检查当前安装的 OpenSSL 版本。
    • 确保使用的是支持现代协议(如 TLS 1.3)的版本。

1.2 生成密钥

生成一个 2048 位的 RSA 私钥,存储在 rsa.key 文件中。

openssl genrsa -out rsa.key 2048

使用 prime256v1 椭圆曲线生成一个 ECC 私钥。

openssl ecparam -genkey -name prime256v1 -out ecc.key

从rsa私钥中提取公钥。

openssl rsa -in rsa.key -pubout -out rsapublic.key

从ecc私钥中提取公钥。

openssl ec -in ecc.key -pubout -out eccpublic.key

1.3 生成证书请求(CSR)

openssl req -new -key private.key -out request.csr

交互式输入
创建一个证书签名请求(CSR),供 CA 签署生成证书,OpenSSL 会提示输入一些证书信息,例如:

Country Name (C): CN
State or Province Name (ST): GuangDong
Locality Name (L): GuangDong
Organization Name (O): My Company
Organizational Unit Name (OU): IT
Common Name (CN): www.example.com
Email Address: admin@example.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

1.4 自签名证书

使用已有私钥生成证书。

openssl req -x509 -new -key rsa.key -out cert.pem -days 365
  • 输出描述:
    • 使用私钥生成一个有效期为 365 天的自签名证书。
    • 自签名证书可用于测试环境,不适合生产环境。

同时生成私钥和证书。

sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
    -keyout /etc/nginx/ssl/nginx.key \
    -out /etc/nginx/ssl/nginx.crt

生成一个新的 2048 位 RSA 私钥和一个自签名证书,分别存储在 /etc/nginx/ssl/nginx.key/etc/nginx/ssl/nginx.crt,适用于快速配置 Nginx 等 Web 服务。

1.5 检查证书信息

查看证书有效期。

openssl x509 -in cert.pem -noout -dates

输出示例:

notBefore=Aug 26 09:48:09 2020 GMT
notAfter=Aug 24 09:48:09 2030 GMT

查看证书详细信息,包括颁发者(Issuer)、有效期(Validity)、签名算法、公共名(CN)等。

openssl x509 -in cert.pem -text -noout

输出示例:

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            cd:f7:04:32:6e:c5:3b:3b
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=XX, L=Default City, O=Default Company Ltd
        Validity
            Not Before: Dec 26 05:49:08 2024 GMT
            Not After : Dec 26 05:49:08 2025 GMT
        Subject: C=XX, L=Default City, O=Default Company Ltd
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
        ...

1.6 测试 HTTPS 连接

测试服务器的 HTTPS 配置。

openssl s_client -connect www.example.com:443

输出示例:

CONNECTED(00000003)
depth=2 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert Global Root G2
verify return:1
depth=1 C = US, O = DigiCert Inc, CN = DigiCert Global G2 TLS RSA SHA256 2020 CA1
verify return:1
depth=0 C = US, ST = California, L = Los Angeles, O = Internet\C2\A0Corporation\C2\A0for\C2\A0Assigned\C2\A0Names\C2\A0and\C2\A0Numbers, CN = www.example.org
verify return:1
---
Certificate chain
 0 s:/C=US/ST=California/L=Los Angeles/O=Internet\xC2\xA0Corporation\xC2\xA0for\xC2\xA0Assigned\xC2\xA0Names\xC2\xA0and\xC2\xA0Numbers/CN=www.example.org
   i:/C=US/O=DigiCert Inc/CN=DigiCert Global G2 TLS RSA SHA256 2020 CA1
 1 s:/C=US/O=DigiCert Inc/CN=DigiCert Global G2 TLS RSA SHA256 2020 CA1
   i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert Global Root G2
---
  • depth=0 表示服务器的证书。
  • verify return:1 表示证书验证成功。
  • Certificate chain 显示证书链的各级证书。

2. 常见命令输出解析

2.1 自签名证书错误

verify error:num=18:self signed certificate
verify return:1
  • 解析:
    • num=18 表示证书是自签名的,没有可信的 CA 签署。
    • 生产环境中须更换为由可信 CA 签署的证书。

2.2 证书过期错误

verify error:num=10:certificate has expired
  • 解析:
    • num=10 表示证书已过期。
    • 解决方法:更新证书或检查服务器时间是否正确。

2.3 中间人攻击可能性

如果证书的颁发者(Issuer)是未知组织或设备(如 WAF、代理),则可能存在中间人攻击风险。可以通过以下命令检查:

openssl s_client -connect www.example.com:443 | openssl x509 -noout -issuer

2.4 证书链不完整

verify error:num=21:unable to verify the first certificate
  • 解析:
    • num=21 表示证书链不完整,可能缺少中间证书。
    • 解决方法:检查服务器证书配置,确保完整的证书链(包括中间证书和根证书)。

3. OpenSSL 加密与解密

3.1 使用对称加密

使用 AES-256-CBC 算法加密和解密文件。

加密:

openssl enc -aes-256-cbc -salt -in test.txt -out entest.txt

解密:

openssl enc -d -aes-256-cbc -in entest.txt -out detest.txt

3.2 使用 RSA 加密

使用 RSA 公钥加密和私钥解密。

加密:

openssl rsautl -encrypt -inkey public.key -pubin -in plaintext.txt -out encrypted.txt

解密:

openssl rsautl -decrypt -inkey private.key -in encrypted.txt -out decrypted.txt

4. OpenSSL 常见问题与解决方法

4.1 如何解决自签名证书问题?

方法 1:忽略自签名证书错误(仅用于测试):

openssl s_client -connect example.com:443 -verify_return_error

方法 2:将自签名证书导入信任存储:

openssl s_client -connect example.com:443 -showcerts > server_cert.pem

4.2 如何验证证书链?

命令格式:

openssl verify -CAfile <CA_certificate> <target_certificate>
  • -CAfile <CA_certificate>:指定信任的根 CA 或中间 CA 证书文件,用于验证目标证书签名的合法性。
  • <target_certificate>:指定需要验证的目标证书文件。

自签名证书验证:

openssl verify -CAfile cert.pem cert.pem

如果返回 OK,表示证书链完整。


http://www.kler.cn/a/463812.html

相关文章:

  • python +tkinter绘制彩虹和云朵
  • Chapter4.2:Normalizing activations with layer normalization
  • 用uniapp写一个播放视频首页页面代码
  • Couchbase 和数据湖技术的区别、联系和相关性分析
  • 创龙3588——debian根文件系统制作
  • 分数阶傅里叶变换代码 MATLAB实现
  • 【FlutterDart】构建布局(1/100)
  • flask-admin 框架下添加menu_links 菜单
  • pytorch Batch Normalization介绍
  • 我有服务器之——内网穿透
  • Kraft模式安装Kafka(含常规、容器两种安装方式)
  • 抖音短视频矩阵系统源码开发技术解析
  • Vue学习之路:从入门到实践
  • 穷举vs暴搜vs深搜vs回溯vs剪枝_全排列_子集
  • linux安装mysql80
  • Lesson 12 Self-supervised Learning for Speech and Image
  • 牛客网最新 1180 道 Java 面试题及答案整理
  • cjson系列——EXAMPLES
  • PHP-Casbin v4.0.0 发布,支持 ACL、RBAC、ABAC 等模型的访问控制框架
  • OpenCV-Python实战(12)——图像金字塔
  • 机器学习随机森林回归模型数据预处理中归一化或者标准化
  • SQL 建表语句详解
  • Vue演练场基础知识(二)表单绑定+条件渲染
  • 【2024年-12月-25日-开源社区openEuler实践记录】easybox:简化开发运维流程的开源百宝箱
  • Android Gradle JVM配置文件gradle.properties优先级查找
  • Android TV端弹出的PopupWindow没有获取焦点