openssl教程(二)

上一篇介绍了openssl的安装及常见错误，这一节主要熟悉几条常用命令，首先cd到你需要保存私钥的位置，然后打开openssl.exe程序。

1.生成rsa私钥

OpenSSL>genrsa -out ca.key 2048

Generating RSA private key,2048 bit long modulus
....................................+++
.........+++
e is 65537(Ox10001)

2048是私钥的长度，openssl生成的私钥中包含了公钥的信息，我们可以根据私钥生成公钥。

genrsa参数说明

参数名	含义
des	在CBC模式下使用DES加密生成的密钥
des3	在EDE CBC模式下使用DES对生成的密钥进行加密
idea	在CBC模式下使用IDEA对生产成的密钥进行加密
seed	用CBC种子加密PEM输出
out file	将密钥输出到file文件中

2.利用私钥生成公钥

OpenSSL>rsa -in ca.key -out ca.key.public

writing RSA key

参数说明

参数名	含义
inform	确定输入格式，有两种:DER和PEM
outform	确定输出格式，有两种：DER和PEM
in arg	输入文件
out arg	输出文件
text	请求的文本形式
noout	不输出REQ

3.利用私钥生成自签发证书

OpenSSL>req -new -x509 -days 365 -key ca.key -out ca.crt

You are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
------
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg,city)[]:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:localhost
Email Address []:

生成的证书如下图所示：

参数说明

参数名	含义
new	创建一个新的请求
x509	生成一个x509结构的证书，而不是一个证书请求
days	生成的x509结构证书的有效天数
set_serial	用于生成x509证书的序列号
inform	确定输入格式，有两种:DER和PEM
outform	确定输出格式，有两种：DER和PEM
in arg	输入文件
out arg	输出文件
text	请求的文本形式
noout	不输出REQ
nodes	不要加密输出密钥
subject	输出请求的主体
key file	使用文件中包含的私钥
subj arg	设置或修改请求主体