[[329274]]

OpenSSL 是一個(gè)多功能的命令行工具，可以用于與公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure）（PKI）和 HTTPS（HTTP over TLS）相關(guān)的大量任務(wù)。這本小抄風(fēng)格的指南提供了 OpenSSL 命令的快速參考，這些命令在常見的日常場(chǎng)景中非常有用。這包括生成私鑰、證書簽署請(qǐng)求（certificate signing request）（CSR）和證書格式轉(zhuǎn)換的 OpenSSL 示例，但它并沒有涵蓋 OpenSSL 的所有用途。

如何使用本指南

• 如果你不熟悉證書簽署請(qǐng)求（CSR），請(qǐng)閱讀第一部分。
• 除了第一部分，本指南采用了簡(jiǎn)單的小抄格式：自帶了命令行代碼片段。
• 跳到與你準(zhǔn)備完成的任務(wù)相關(guān)的任何部分。
• 大多數(shù)命令都是單行的，為了清晰起見，已經(jīng)擴(kuò)展到多行（使用 \ 符號(hào)）。

關(guān)于證書簽署請(qǐng)求（CSR）

如果你想從證書頒發(fā)機(jī)構(gòu)（certificate authority）（CA）那里獲得 SSL 證書，你必須生成一個(gè)證書簽署請(qǐng)求（certificate signing request）（CSR）。一個(gè) CSR 主要是由一個(gè)密鑰對(duì)的公鑰和一些附加信息組成。當(dāng)證書被簽署時(shí)，這兩部分都會(huì)被插入到證書中。

每當(dāng)你生成一個(gè) CSR 時(shí)，你會(huì)被提示提供有關(guān)證書的信息。這些信息被稱為區(qū)分名稱（Distinguised Name）（DN）。DN 中的一個(gè)重要字段是通用名稱（Common Name）（CN），它應(yīng)該是你打算使用證書的主機(jī)的完全合格域名（Fully Qualified Domain Name）（FQDN）。當(dāng)創(chuàng)建 CSR 時(shí)，也可以通過(guò)命令行或文件傳遞信息來(lái)跳過(guò)交互式提示。

DN 中的其他項(xiàng)目提供了有關(guān)你的業(yè)務(wù)或組織的附加信息。如果你是從證書機(jī)構(gòu)購(gòu)買 SSL 證書，通常要求這些附加字段（如“組織（Organization）”）準(zhǔn)確地反映你的組織的詳細(xì)信息。

下面是一個(gè) CSR 信息提示的例子：

---
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:New York
Locality Name (eg, city) []:Brooklyn
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Brooklyn Company
Organizational Unit Name (eg, section) []:Technology Division
Common Name (e.g. server FQDN or YOUR name) []:examplebrooklyn.com
Email Address []:

如果你想非交互式地回答 CSR 信息提示，你可以通過(guò)在任何請(qǐng)求 CSR 信息的 OpenSSL 命令中添加 -subj 選項(xiàng)來(lái)實(shí)現(xiàn)。這里是該選項(xiàng)的一個(gè)例子，使用上面代碼塊中顯示的相同信息：

-subj "/C=US/ST=New York/L=Brooklyn/O=Example Brooklyn Company/CN=examplebrooklyn.com"

現(xiàn)在你已經(jīng)了解了 CSR，可以自由跳轉(zhuǎn)到本指南中涵蓋你的 OpenSSL 需求的任何一節(jié)。

生成 CSR

本節(jié)介紹了與生成 CSR（以及私鑰，如果它們還不存在的話）有關(guān)的 OpenSSL 命令。CSR 可以用來(lái)向證書頒發(fā)機(jī)構(gòu)請(qǐng)求 SSL 證書。

請(qǐng)記住，你可以通過(guò)上一節(jié)中提到的 -subj 選項(xiàng)非交互式地添加 CSR 信息。

生成一個(gè)私鑰和一個(gè) CSR

如果你想使用 HTTPS（HTTP over TLS）來(lái)保護(hù)你的 Apache HTTP 或 Nginx Web 服務(wù)器的安全，并且你想使用一個(gè)證書頒發(fā)機(jī)構(gòu)（CA）來(lái)頒發(fā) SSL 證書，那么就使用這個(gè)方法。生成的 CSR 可以發(fā)送給 CA，請(qǐng)求簽發(fā)由 CA 簽名的 SSL 證書。如果你的 CA 支持 SHA-2，請(qǐng)?zhí)砑?-sha256 選項(xiàng)，用 SHA-2 簽署 CSR。

這條命令從頭開始創(chuàng)建一個(gè) 2048 位的私鑰（domain.key）和一個(gè) CSR（domain.csr）：

openssl req \
       -newkey rsa:2048 -nodes -keyout domain.key \
       -out domain.csr

回答 CSR 信息提問(wèn)，完成該過(guò)程。

選項(xiàng) -newkey rsa:2048 指定密鑰應(yīng)該是 2048 位，使用 RSA 算法生成。選項(xiàng) -nodes 指定私鑰沒有用密碼加密。這里沒有包含 -new 選項(xiàng)，而是隱含在其中，表示正在生成一個(gè) CSR。

從現(xiàn)有的私鑰中生成一個(gè) CSR

如果你已經(jīng)有了私鑰，并想用它向 CA 申請(qǐng)證書，請(qǐng)使用這個(gè)方法。

該命令基于現(xiàn)有的私鑰（domain.key）創(chuàng)建一個(gè)新的 CSR（domain.csr）：

openssl req \
       -key domain.key \
       -new -out domain.csr

回答 CSR 信息提問(wèn)，完成該過(guò)程。

選項(xiàng) -key 指定一個(gè)現(xiàn)有的私鑰（domain.key)，它將被用來(lái)生成一個(gè)新的 CSR。選項(xiàng) -new 表示正在生成一個(gè) CSR。

從現(xiàn)有的證書和私鑰生成 CSR

如果你想更新現(xiàn)有的證書，但由于某些原因，你或你的 CA 沒有原始的 CSR，請(qǐng)使用這個(gè)方法?；旧峡梢允∪ブ匦螺斎?CSR 信息的麻煩，因?yàn)樗菑默F(xiàn)有證書中提取信息的。

該命令基于現(xiàn)有的證書（domain.crt）和私鑰（domain.key）創(chuàng)建一個(gè)新的 CSR（domain.csr）：

openssl x509 \
       -in domain.crt \
       -signkey domain.key \
       -x509toreq -out domain.csr

選項(xiàng) -x509toreq 指定你使用一個(gè) X509 證書來(lái)制作 CSR。

生成 SSL 證書

如果你想使用 SSL 證書來(lái)確保服務(wù)的安全，但你不需要 CA 簽名的證書，一個(gè)有效的（和免費(fèi)的）解決方案是簽署你自己的證書。

你可以自己簽發(fā)的一種常見證書是自簽證書（self-signed certificate）。自簽證書是用自己的私鑰簽署的證書。自簽證書和 CA 簽名證書一樣可以用來(lái)加密數(shù)據(jù)，但是你的用戶會(huì)顯示一個(gè)警告，說(shuō)這個(gè)證書不被他們的計(jì)算機(jī)或?yàn)g覽器信任。因此，只有當(dāng)你不需要向用戶證明你的服務(wù)身份時(shí)，才可以使用自簽名證書（例如非生產(chǎn)或非公開服務(wù)器）。

本節(jié)介紹與生成自簽名證書相關(guān)的 OpenSSL 命令。

生成自簽證書

如果你想使用 HTTPS（HTTP over TLS）來(lái)保護(hù)你的 Apache HTTP 或 Nginx Web 服務(wù)器，并且你不需要你的證書由 CA 簽名，那么就使用這個(gè)方法。

這個(gè)命令可以從頭開始創(chuàng)建一個(gè) 2048 位的私鑰（domain.key）和一個(gè)自簽證書（domain.crt）：

openssl req \
       -newkey rsa:2048 -nodes -keyout domain.key \
       -x509 -days 365 -out domain.crt

回答 CSR 信息提問(wèn)，完成該過(guò)程。

選項(xiàng) -x509 告訴 req 子命令創(chuàng)建一個(gè)自簽名的證書。-days 365 選項(xiàng)指定證書的有效期為 365 天。它會(huì)生成一個(gè)臨時(shí)的 CSR，以收集與證書相關(guān)的信息。

從現(xiàn)有私鑰生成自簽名證書

如果你已經(jīng)有了一個(gè)私鑰，并且你想用它來(lái)生成一個(gè)自簽證書，請(qǐng)使用這個(gè)方法。

這條命令可以從現(xiàn)有的私鑰（domain.key）中創(chuàng)建一個(gè)自簽證書（domain.crt）：

openssl req \
       -key domain.key \
       -new \
       -x509 -days 365 -out domain.crt

回答 CSR 信息提問(wèn)，完成該過(guò)程。

選項(xiàng) -x509 告訴 req 子命令創(chuàng)建一個(gè)自簽證書。-days 365 選項(xiàng)指定證書的有效期為 365 天。選項(xiàng) -new 啟用 CSR 信息提問(wèn)。

從現(xiàn)有的私鑰和 CSR 生成自簽證書

如果你已經(jīng)有了私鑰和 CSR，并且你想用它們生成一個(gè)自簽證書，請(qǐng)使用這個(gè)方法。

這條命令將從現(xiàn)有的私鑰（domain.key）和（domain.csr）中創(chuàng)建一個(gè)自簽證書（domain.crt）。

openssl x509 \
       -signkey domain.key \
       -in domain.csr \
       -req -days 365 -out domain.crt

選項(xiàng) -days 365 指定證書的有效期為 365 天。

查看證書

證書和 CSR 文件是以 PEM 格式編碼的，不適合被人讀取。

本節(jié)介紹的 OpenSSL 命令將輸出 PEM 編碼文件的實(shí)際條目。

查看 CSR 條目

該命令允許你查看和驗(yàn)證純文本的 CSR（domain.csr）的內(nèi)容：

openssl req \
       -text -noout -verify \
       -in domain.csr

查看證書條目

該命令允許你查看純文本證書（domain.crt）的內(nèi)容：

openssl x509 \
       -text -noout \
       -in domain.crt

驗(yàn)證證書由 CA 簽署

使用此命令驗(yàn)證證書（domain.crt）是否由特定的 CA 證書（ca.crt）簽署：

openssl verify \
       -verbose -CAFile ca.crt \
       domain.crt

私鑰

本節(jié)介紹了用于創(chuàng)建和驗(yàn)證私鑰的 OpenSSL 命令。

創(chuàng)建私鑰

使用該命令創(chuàng)建一個(gè)受密碼保護(hù)的 2048 位私鑰（domain.key）：

openssl genrsa \
       -des3 -out domain.key 2048

在提示時(shí)輸入密碼以完成該過(guò)程。

驗(yàn)證私鑰

使用此命令檢查私鑰（domain.key）是否為有效密鑰：

openssl rsa \
       -check -in domain.key

如果你的私鑰已經(jīng)加密，系統(tǒng)會(huì)提示你輸入它的密碼，成功后，未加密的密鑰會(huì)在終端上輸出。

驗(yàn)證私鑰是否與證書和 CSR 匹配

使用這些命令來(lái)驗(yàn)證私鑰（domain.key）是否匹配證書（domain.crt）和 CSR（domain.csr）：

openssl rsa  -noout -modulus -in domain.key | openssl md5
openssl x509 -noout -modulus -in domain.crt | openssl md5
openssl req  -noout -modulus -in domain.csr | openssl md5

如果每條命令的輸出都是相同的，那么私鑰、證書和 CSR 就極有可能是相關(guān)的。

加密私鑰

這需要一個(gè)未加密的私鑰（unencrypted.key），并輸出它的加密版本（encrypted.key）：

openssl rsa -des3 \
       -in unencrypted.key \
       -out encrypted.key

輸入你所需的密碼，以加密私鑰。

解密私鑰

這需要一個(gè)加密的私鑰（encrypted.key），并輸出一個(gè)解密的版本（decrypted.key）：

openssl rsa \
       -in encrypted.key \
       -out decrypted.key

在提示時(shí)，輸入加密密鑰的密碼。

轉(zhuǎn)換證書格式

我們一直在使用的所有證書都是 ASCII 碼 PEM 編碼的 X.509 證書。還有很多其他的證書編碼和容器類型；一些應(yīng)用程序喜歡某些格式而不是其他格式。此外，這些格式中的許多格式可以在一個(gè)文件中包含多個(gè)項(xiàng)目，如私鑰、證書和 CA 證書。

OpenSSL 可以用來(lái)將證書在則西格式間轉(zhuǎn)換。本節(jié)將介紹一些可能的轉(zhuǎn)換。

將 PEM 轉(zhuǎn)換為 DER

如果要將 PEM 編碼的證書（domain.crt）轉(zhuǎn)換為 DER 編碼的證書（domain.der），即二進(jìn)制格式，請(qǐng)使用此命令：

openssl x509 \
       -in domain.crt \
       -outform der -out domain.der

DER 格式通常與 Java 一起使用。

將 DER 轉(zhuǎn)換為 PEM

如果要將 DER 編碼的證書（domain.der）轉(zhuǎn)換為 PEM 編碼的證書（domain.crt），請(qǐng)使用此命令：

openssl x509 \
       -inform der -in domain.der \
       -out domain.crt

將 PEM 轉(zhuǎn)換為 PKCS7

如果你想把 PEM 證書（domain.crt 和 ca-chain.crt）添加到 PKCS7 文件（domain.p7b）中，請(qǐng)使用該命令：

openssl crl2pkcs7 -nocrl \
       -certfile domain.crt \
       -certfile ca-chain.crt \
       -out domain.p7b

請(qǐng)注意，你可以使用一個(gè)或多個(gè) -certfile 選項(xiàng)來(lái)指定要添加到 PKCS7 文件中的證書。

PKCS7 文件，也被稱為 P7B，通常用于 Java Keystores 和 Microsoft IIS（Windows）。它們是 ASCII 文件，可以包含證書和 CA 證書。

將 PKCS7 轉(zhuǎn)換為 PEM

如果你想將 PKCS7 文件（domain.p7b）轉(zhuǎn)換為 PEM 文件，請(qǐng)使用該命令：

openssl pkcs7 \
       -in domain.p7b \
       -print_certs -out domain.crt

請(qǐng)注意，如果你的 PKCS7 文件中有多個(gè)項(xiàng)目（如證書和 CA 中間證書)，創(chuàng)建的 PEM 文件將包含其中的所有項(xiàng)目。

將 PEM 轉(zhuǎn)換為 PKCS12

如果你想使用私鑰（domain.key）和證書（domain.crt），并將它們組合成一個(gè) PKCS12 文件（domain.pfx），請(qǐng)使用這個(gè)命令：

openssl pkcs12 \
       -inkey domain.key \
       -in domain.crt \
       -export -out domain.pfx

系統(tǒng)會(huì)提示你輸入導(dǎo)出密碼，你可以留空。請(qǐng)注意，在這種情況下，你可以通過(guò)將多個(gè)證書連接到一個(gè) PEM 文件（domain.crt）中來(lái)添加一個(gè)證書鏈到 PKCS12 文件中。

PKCS12 文件，也被稱為 PFX 文件，通常用于在 Micrsoft IIS（Windows）中導(dǎo)入和導(dǎo)出證書鏈。

將 PKCS12 轉(zhuǎn)換為 PEM

如果你想轉(zhuǎn)換 PKCS12 文件（domain.pfx）并將其轉(zhuǎn)換為 PEM 格式（domain.combined.crt），請(qǐng)使用此命令：

openssl pkcs12 \
       -in domain.pfx \
       -nodes -out domain.combined.crt

請(qǐng)注意，如果你的 PKCS12 文件中有多個(gè)項(xiàng)目（如證書和私鑰），創(chuàng)建的 PEM 文件將包含其中的所有項(xiàng)目。

OpenSSL 版本

openssl version 命令可以用來(lái)檢查你正在運(yùn)行的版本。你正在運(yùn)行的 OpenSSL 版本，以及編譯時(shí)使用的選項(xiàng)會(huì)影響到你可以使用的功能（有時(shí)也會(huì)影響到命令行選項(xiàng)）。

下面的命令顯示了你正在運(yùn)行的 OpenSSL 版本，以及它被編譯時(shí)的所有選項(xiàng)：

openssl version -a

本指南是使用具有如下細(xì)節(jié)的 OpenSSL 二進(jìn)制文件編寫的（參見前面命令的輸出）：

OpenSSL 1.0.1f 6 Jan 2014
built on: Mon Apr  7 21:22:23 UTC 2014
platform: debian-amd64
options:  bn(64,64) rc4(16x,int) des(idx,cisc,16,int) blowfish(idx)
compiler: cc -fPIC -DOPENSSL_PIC -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -m64 -DL_ENDIAN -DTERMIO -g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -D_FORTIFY_SOURCE=2 -Wl,-Bsymbolic-functions -Wl,-z,relro -Wa,--noexecstack -Wall -DMD32_REG_T=int -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/usr/lib/ssl"

總結(jié)

這應(yīng)該涵蓋了大多數(shù)人如何使用 OpenSSL 來(lái)處理 SSL 證書的情況！它還有很多其他的用途，在這里沒有介紹，所以請(qǐng)?jiān)谠u(píng)論中隨時(shí)詢問(wèn)或建議其他用途。