二流人物
二流人物

OpenSSL之十三:证书和CA指令

证书和CA指令

  • 证书生命周期
  • 证书封装类型
  • 证书使用
    • 证书应用模型
    • 证书链
    • 用户身份确认
  • OpenSSL支持的CA指令
  • 申请证书
    • req指令
    • 生成证书密钥
      • 使用RSA密钥生成证书请求
      • 使用DSA密钥生成证书请求
      • 双证书
    • 在证书请求中增加扩展项
    • 申请用户证书请求
    • 申请 CA 证书请求
  • 建立CA
    • CA 服务器的基本功能
    • CA 服务器的基本要素
    • OpenSSL 模拟 CA 服务器结构
    • OpenSSl 配置文件
    • 建立基于 OpenSSL 的 CA 服务器
  • CA 操作
    • 指令格式
    • 在证书中增加扩展项
    • 签发用户证书
    • 签发下级 CA 证书
    • 建立多级 CA
  • 使用证书
    • X.509 证书
    • CRL
    • PCKS#12 证书
    • PCKS#7 证书
  • 验证证书
    • 证书验证过程
    • verify 指令介绍
    • 在线状态服务程序指令 ocsp

证书生命周期

证书生命流程 描述
证书申请 生成密钥对(使用genrsa、gendsa或req),填写用户信息,并将公钥和用户信息一起交给CA验证
证书颁发 首先验证证书请求上的签名;查阅证书请求用户信息(匹配、支持或可选);签发(ca或x509指令)
证书验证 验证CA数字签名、证书的有效期、证书是否被吊销(verify或者ocsp)
证书吊销 从CA的证书数据库中删除被吊销的证书;生成和公布证书吊销列表CRL(ca的revoke选项)
证书过期 证书过期后,CA需要更新证书库中已经过期的证书的状态(ca指令对应updatedb更新数据库中证书的标记状态)

证书封装类型

  • X.509证书:X.509证书包含的内容主要是用户信息、整数序列号、签发者、有效期、公钥、其他信息及CA的数字签名。如果要在Windows平台查看和管理X.509证书,需要将X.509证书文件后缀名改成cer、der或者crt。OpenSSL本身的ca指令颁发的证书是X.5009标准格式。
  • PKCS#12证书:PCKS#12格式证书可以将证书和其相应的私钥封装在一起。PKCS#12采用了PKCS#8的私钥封装格式对私钥进行了基于口令的加密。
  • PKCS#7证书:所谓证书链,就是一个用户证书和一系列与其证书相关的CA证书的有序集合。PKCS#7证书可以包含多个证书和CRL。
证书类型 证书内容 适用范围 OpenSSL支持 Windows后缀
X.509 用户信息、公钥、序列号、CA签名和其他证书信息 用户和被验证用户处于同一个CA域内的验证模型,用户不需要考虑私钥存储的问题 生成、适用和其他管理都支持 der、cer、crt
PKCS#12证书 X.509证书和其相应私钥 需要同时使用X.509证书和其私钥的应用,比如导入证书到IE或Netscape浏览器 生成、使用和其他管理都基本支持 pfx、p12
PKCS#7证书 多个X.509证书和CRL 需要同时使用多个用户证书和CRL的验证过程或其他应用 生成和管理支持 p7

证书使用

证书应用模型

OpenSSL之十三:证书和CA指令_第1张图片

证书链

OpenSSL之十三:证书和CA指令_第2张图片
用户A和用户B的证书是不同的CA签发的,CA1和CA2,但具有相同的根证书CA。证书链的认证流程如下:

  1. A将自己的证书、CA1的证书和根CA证书发送给B;
  2. B接收到A发送过来的整个证书链后,B从CA1提取公钥,验证用户证书A的合法性和有效性;
  3. B从根CA提取公钥,验证CA1证书的合法性和有效性;
  4. B利用根CA的公钥验证根CA证书的合法性和有效新(因为它是一个自签发根证书);
  5. B查找自己的信任证书库(通常是一些根CA的列表),看看上述通过验证的根CA是否在信任列表中,如果在,那么验证通过,否则验证不通过。

用户身份确认

证书验证通过后,还需要确认用户身份。一般的做法是,提取证书中的公钥并使用公钥加密一个随机数,然后发送给用户,要求用户解密并返回该数据。

OpenSSL支持的CA指令

指令 描述
req 根据给定的密钥对或者新生成的密钥对按OpenSSL配置文件指定的要求生成符合pkcs#10的证书请求。此外,还支持生成自签名根证书的功能
ca 该指令模拟了一个ca服务器的功能和操作,包括签发证书、吊销证书、产生CRL等证书相关管理操作
x509 该指令是一个显示X.509证书内容和签发证书的工具,具备了使用特定私钥和证书进行证书签发的功能
verify 验证证书程序
ocsp 支持在线证书验证协议的指令,可以处理OCSP协议的一些标准格式信息操作,生成OCSP请求发送给其他OCSP服务器,甚至可以自己模拟一个OCSP服务程序
crl 处理和显示CRL文件信息
crl2pkcs7 将CRL和其他证书封装成PKCS#7证书
pkcs12 将X.509证书和其相应私钥封装成PKCS#12证书,或者将PKCS#12证书转换位X.509证书
pkcs7 处理PKCS#7的证书,并可以将之转换位普通格式证书

申请证书

req指令

OpenSSL之十三:证书和CA指令_第3张图片
req指令选项:

选项 描述
in 指定了保存证书请求的文件名,默认是标准输入
out 指定了输出文件名,默认是标准输出
key 指定了输入私钥的文件,该文件内的私钥编码格式由keyform指定
keyout 指定了新生成的私钥的输入保存文件,默认为OpenSSL配置文件中req字段default_keyfile选项的参数中获取输出私钥文件名
inform 指定了选项in指定的输入证书请求文件的编码格式
outform 指定了输出选项out输出的证书请求或自签发证书的编码格式
keyform 指定了输入选项key指定的密钥编码格式
passin 指定了读取key选项指定的私钥所需要的解密口令
passout 指定了使用keyout选项输出私钥时使用的加密口令
pubkey 指定输出PEM编码公钥到out指定文件中
new 告诉指令生成新的证书请求操作,此时in选项指定的输入文件会被忽略
newkey 告诉指令生成一个新的密钥对,该选项只有在没有使用key选项时才有效,newkey选项包含rsa:numbite和dsa:file两种形式
nodes 告诉指令不对新生成的私钥进行加密保存,此时passout选项会被忽略
x509 告诉指令生成一个自签名证书而不是输出一个证书请求
* 支持的算法类型
subj 从指令行指定证书的主体名称,没有改选项,req指令默认从主配置文件获取国家代号、省份、单位名称等
days 设定了生成的自签名根证书的有效期,单位是天,只有在使用x509时才有效
set_serial 指定了生成的自签名根证书的序列号,默认根序列号时0,只有在使用x509时才有效
config 指定req指定在生成证书请求的使用使用的OpenSSL配置文件,默认为openssl.cnf
extensions 指定了生成自签名根证书的时候使用的扩展字段,比如openssl.cnf文件中的v3_ca字段
reqexts 指定了生成证书请求时使用的扩展字段,比如openssl.cnf文件中的v3_req字段
newhdr 使用该选后将会在输出的PEM编码的证书请求开始和结束行增加“NEW”标记字符串
utf8 使用该选项后,输出信息将采用UTF8编码,默认时ASCII编码
noout 使用该选项后,指令将不会输出编码的证书请求或自签发证书到out选项指定的文件中
subject 告诉指令输出主题名信息,即使text选项已经输出,该选项还会再次输出
reqopt 指定text输出的内容
nameopt 输出字符编码选项,指定了如何显示主体名称和签发者名称,主要用于演示名称后不同编码的内容
verify 对证书请求的数字签名进行验证操作,并给出失败或者成功的提示信息
rand 指定了生成密钥对或者其他一些操作需要的随机种子文件
batch 使用该选项将不在提示用户输入生成证书请求需要的用户信息,而是直接从主
verbose 输出执行各个操作的详细信息

自签名证书:指用一对密钥对的私钥对自己相应的公钥生成的证书请求进行签名而颁发证书,这样证书申请人和签发人都是同一个,所以称为自签名根证书。如果证书不用于根CA,那么一般来说只有测试的意义。

生成证书密钥

使用RSA密钥生成证书请求

#方式1:直接使用req指令生成RSA密钥用于证书请求(缺点是私钥加密只能使用DES3-CBC,输出编码只能是PEM)
OpenSSL> req -new -newkey rsa:1024 -keyout RSAPrivateKey.pem -out RSAReq.pem -passout pass:12345678

#方式2:使用genrsa和req生成证书请求
#第一步
OpenSSL> genrsa -aes256 -passout pass:12345678 -out RSAPrivateKey.pem 1024
#第二步:
OpenSSL> req -new -key RSAPrivateKey.pem -passin pass:12345678 -out RSAReq.pem

使用DSA密钥生成证书请求

#方式1:使用dsaparam和req指令生成DSA密钥用于证书请求(缺点是私钥加密只能使用DES3-CBC,输出编码只能是PEM)
#第一步
OpenSSL> dsaparam -out DSAParam.pem 1024
#第二步
OpenSSL> req -new -newkey dsa:DSAParam.pem -keyout DSAPrivateKey.pem -out DSAReq.pem -passout pass:12345678

#方式2:使用dsaparam、genrsa和req指令生成证书请求
#第一步
OpenSSL> dsaparam -out DSAParam.pem 1024
#第二步
OpenSSL> gendsa -out DSAPrivateKey.pem -aes256 -passout pass:12345678 DSAParam.pem
#第三步
OpenSSL> gendsa -out DSAPrivateKey.pem -aes256 -passout pass:12345678 DSAParam.pem

双证书

一个整数用于密钥交换,一个证书用于数字签名。用于密钥交换的证书其密钥对一般由CA或者RA代替用户产生;而用于数字签名的证书的密钥则由用户自己产生。

在证书请求中增加扩展项

在某些特殊情况下,需要在证书中扩展一些标记以便实现一些特定的功能,比如,你可能需要在给你公司员工发放的证书中增加一项权限的功能,这可能给会给管理带来很大的方便,尤其对于有多个服务器的分布式系统中,这种证书尤其有用。
首先保证 openssl.cnf 文件中 oid_section = new_oids 没有被注释,然后在 [new_oids] 字段中定义一个 OID,其简短名和长名都是 UserRights, OID 为 2.5.4.555:

[ new_oids ]
......
......
UserRights=2.5.4.555
......
......

然后在 [ req_distinguished_name ] 字段中添加自定义配置:

[ req_distinguished_name ]
UserRights					= User Rights
UserRights_default			= US
UserRights_min				= 2
UserRights_max				= 2

申请用户证书请求

证书按照其在证书链中的位置分类,一般可以分为两种:终端用户证书和 CA 证书。所谓 CA 证书,是指该证书可以用于签发别的用户证书,也就是说,它可以有下级的证书。终端用户证书则用于具体应用程序或协议中,它不能用来签发别的证书,在证书链中,它处于最末端。
首先保证 openssl.cnf 配置文件中 v3_req 生效:req_extensions = v3_req 没有被注释,然后修改 [ v3_req ] 配置项:

[ v3_req ]
# Extensions to add to a certificate request
basicConstraints = CA:FALSE

申请 CA 证书请求

如果你要申请一个临时的 CA 证书,你可能并不需要签发这个证书,只需要生成一个申请一个 CA 证书的请求,然后发给上级 CA,然后等待它的签发就可以了。怎样生成一个 CA 证书请求,而不是用户证书请求呢?首先保证 openssl.cnf 配置文件中 v3_req 生效:req_extensions = v3_req 没有被注释,然后修改 [ v3_req ] 配置项:

[ v3_req ]
# Extensions to add to a certificate request
basicConstraints = CA:TRUE

建立CA

有了 OpenSSl,建立一个 CA 服务器非常简单。这里我们需要直到 CA 服务器只是一个技术上的基础程序,而 CA 则是一个集技术个管理于一体的庞大机构。

CA 服务器的基本功能

  • 接受证书请求:在线实时提交、在线非实时提交和本地提交
  • 审核证书请求
  • 签发证书
  • 发布证书,发布对象有两种:一种是申请证书的用户本人,必须让他能够及时获得自己的证书;一种是其他用户,可以向他们提供获得所有用户证书的途径。一般通过 WEB 方式或 LDAP 方式发布。
  • 吊销证书
  • 生成和发布 CRL
  • 证书库管理

CA 服务器的基本要素

  • 一个具备基本功(CA 服务器基本功能)能的 CA 应用程序,可以使用 OpenSSL 的 ca 指令作为 CA 应用程序,当然也可以使用微软的CA服务器或 OpenCA。
  • 一个 CA 证书和一个其相应的私钥,可能是自签名的根证书,也可能是向另一个 CA 申请的证书。如果我们搭建的 CA 服务自称体系,并不需要上级 CA 支持,那么使用 OpenSSL 的 req 指令生成一个自签名根证书作为 CA 服务器的证书即可;如果需要上级 CA 支持,只需要生成一个 CA 证书请求发送给上级 CA,然后等待上级 CA 签发你的证书。
  • 证书数据库,用于存储证书(有时候还包括私钥)。可以使用 Mysql、Oracle、SQLServer 数据库,或自定义的文本数据库。

OpenSSL 模拟 CA 服务器结构

demoCA 根目录
	|____newcerts 目录(存放新证书,如 01.pem)
	|____cers 目录(存放签发者证书)
	|____private 目录(存放私钥文件)
	|		|____cakey.pem(CA 私钥)
	|____crl 目录(存放 CA 的 CRL)
	|____cacert.pem 文件(CA 证书)
	|____index.txt 文件(文本证书库)
	|____serial 文件(序列号文件)

OpenSSl 配置文件

[ CA_default ]
dir			= ./demoCA		
certs		= $dir/certs		
crl_dir		= $dir/crl		
database	= $dir/index.txt	
new_certs_dir	= $dir/newcerts		
certificate	= $dir/cacert.pem 	
serial		= $dir/serial 	
crlnumber	= $dir/crlnumber	
crl			= $dir/crl.pem 		
private_key	= $dir/private/cakey.pem
RANDFILE	= $dir/private/.rand

建立基于 OpenSSL 的 CA 服务器

  • 手动创建一个 CA 目录结构
    • 在 OpenSSL 目录下创建 demoCA 目录
    • 在 demoCA 目录下创建 newcerts、cers、private、crl 子目录
    • 在 demoCA 目录下创建 index.txt 空文件
    • 在 demoCA 目录下创建 serial 文件,文件内容为 01
    • 将 CA 证书文件转换为 pem 格式,复制到 demoCA 根目录,命名为 cacert.pem
    • 将 CA 私钥文件转换为 pem 格式,复制到 demoCA 根目录,命名为 cakey.pem

    CA 证书和私钥可以使用自签名证书和私钥,生成命令:
    OpenSSL> req -x509 -newkey rsa:2048 -keyout cakey.pem -out cacert.pem

  • 自动创建一个 CA 目录结构
    将 OpenSSL 的 apps 目录下的 ca.pl 文件赋值到你想创建 CA 目录的目录,然后运行下面的命令:
OpenSSL> perl ca.pl -newca

接下来该指令会提示输入已有的 CA 证书或者直接按 Enter 建创建一个自签名的根证书。执行完成后 CA 的目录结构就会自动创建完成。如果你想使用已经申请到的 CA 证书作为 CA 证书,那么将证书和私钥转换为 pem 格式,并将其替代 CA 目录下的 cacert.pem 和 cakey.pem。

  • 指定 OpenSSL 配置文件
    • Linux 环境下默认的 OpenSSL 配置文件路径是 /usr/local/ssl/openssl.cnf
    • Windows 环境下可以通过设置环境变量 OPENSSL_CONF 或 SSLEAY_CONF 来指定 openssl.cnf 的位置,也可直接在指令环境中输入:
      OpenSSL> set OPENSSL_CONF=C:\OpenSSL\openssl.cnf
    • 使用 ca 指令的 config 选项来指定

CA 操作

指令格式

C:\Users\Sunny
λ openssl.exe ca -help
Usage: ca [options]
Valid options are:
 -help                   Display this summary
 -verbose                Verbose output during processing
 -config val             A config file
 -name val               The particular CA definition to use
 -subj val               Use arg instead of request's subject
 -utf8                   Input characters are UTF8 (default ASCII)
 -create_serial          If reading serial fails, create a new random serial
 -rand_serial            Always create a random serial; do not store it
 -multivalue-rdn         Enable support for multivalued RDNs
 -startdate val          Cert notBefore, YYMMDDHHMMSSZ
 -enddate val            YYMMDDHHMMSSZ cert notAfter (overrides -days)
 -days +int              Number of days to certify the cert for
 -md val                 md to use; one of md2, md5, sha or sha1
 -policy val             The CA 'policy' to support
 -keyfile val            Private key
 -keyform format         Private key file format (PEM or ENGINE)
 -passin val             Input file pass phrase source
 -key val                Key to decode the private key if it is encrypted
 -cert infile            The CA cert
 -selfsign               Sign a cert with the key associated with it
 -in infile              The input PEM encoded cert request(s)
 -out outfile            Where to put the output file(s)
 -outdir dir             Where to put output cert
 -sigopt val             Signature parameter in n:v form
 -notext                 Do not print the generated certificate
 -batch                  Don't ask questions
 -preserveDN             Don't re-order the DN
 -noemailDN              Don't add the EMAIL field to the DN
 -gencrl                 Generate a new CRL
 -msie_hack              msie modifications to handle all those universal strings
 -crldays +int           Days until the next CRL is due
 -crlhours +int          Hours until the next CRL is due
 -crlsec +int            Seconds until the next CRL is due
 -infiles                The last argument, requests to process
 -ss_cert infile         File contains a self signed cert to sign
 -spkac infile           File contains DN and signed public key and challenge
 -revoke infile          Revoke a cert (given in file)
 -valid val              Add a Valid(not-revoked) DB entry about a cert (given in file)
 -extensions val         Extension section (override value in config file)
 -extfile infile         Configuration file with X509v3 extensions to add
 -status val             Shows cert status given the serial number
 -updatedb               Updates db for expired cert
 -crlexts val            CRL extension section (override value in config file)
 -crl_reason val         revocation reason
 -crl_hold val           the hold instruction, an OID. Sets revocation reason to certificateHold
 -crl_compromise val     sets compromise time to val and the revocation reason to keyCompromise
 -crl_CA_compromise val  sets compromise time to val and the revocation reason to CACompromise
 -rand val               Load the file(s) into the random number generator
 -writerand outfile      Write random data to the specified file
 -engine val             Use engine, possibly a hardware device

例程:

# 使用 notext,不输出明文信息到证书文件
OpenSSL> ca -in req.pem -out cert.cer -notext
# 生成有效期在2020年9月9日 至 2021年10月10日的证书
OpenSSL> ca -notext -startdata 200909000000Z -enddata 211010000000Z -infiles req1.pem req2.pem
# 使用 Engine 中的私钥签发证书
OpenSSL> ca -in req.pem =out cert.cer -notext -cert pcks11cert.pem -keyfile pkcs11key.pem -keyform e -engine pkcs11
# 吊销证书,并指明吊销原因是密钥泄露
OpenSSL> ca -revoke cert.pem -crl_reason keyCompromise
# 吊销证书,并指明密钥泄露时间
OpenSSL> ca -revoke cert.pem -crl_compromise 2023210309000000Z
# 生成一个 CRL,并设定 CRL 更新时间为 7 天 7 小时
OpenSSL> ca -gencrl -crldays 7 -crlhours 7 -out crl.crl
# 查询证书号为 1 的证书状态
OpenSSL> ca -gencrl -crldays 7 -crlhours 7 -out crl.crl
# 更新文本证书数据库
OpenSSL> ca -updatedb

在证书中增加扩展项

首先增加 OID,然后在 [ policy_match ][ policy_anything ] 中添加扩展项。

签发用户证书

可以通过在 OpenSSL 配置文件中的 X.509 v3 扩展项 [ usr_cert ] 字段来告诉 ca 指令签发用户证书:

basicConstraints = CA:FALSE

签发下级 CA 证书

首先保证 OpenSSL的 basicConstraints 配置项为 basicConstraints = CA:TRUE
然后,如果要签发 CA 证书,则使用 extensions 选项指定 X509 v3 扩展字段为 v3_ca:

OpenSSL> ca [其它参数] -extensions  v3_ca

或者直接在配置文件中配置:x509_extensions = usr_cert

建立多级 CA

建立多级 CA 的过程总结:

					RootCA
	  ________________|________________
	  |                                |
	SubCA                          用户证书 A
	  |
   用户证书 B
  1. 使用 req 生成一个自签名根证书作为 RootCA 证书,配置 RootCA 配置文件。
  2. 使用 req 生成一个 CA 证书请求,并使用 RootCA 签发该请求形成 SubCA 的证书,配置 SubCA 配置文件。
  3. 使用 req 生成一个证书请求,并使用 SubCA 的证书签发该请求形成用户证书 B。
  4. 使用 req 生成一个证书请求,并使用 RootCA 的证书签发该请求形成用户证书 A。
# Step1:创建 RootCA 目录
C:\Users\Sunny\Desktop
λ mkdir RootCA

C:\Users\Sunny\Desktop
λ cd RootCA\

C:\Users\Sunny\Desktop\RootCA
λ
# Step2:将 openssl.exe、openssl.cnf、ca.pl 拷贝到 RootCA 目录,创建 demoCA 目录
# RootCA 的配置文件需要支持两个不同的 X.509 v3 扩展项,用于签发用户证书(user_cert)和 CA 证书(ca_v3)
C:\Users\Sunny\Desktop\RootCA
λ perl ca.pl -newca
λ openssl
OpenSSL>
# Step3: 生成一个使用 2048 位密钥的自签名根证书作为 RootCA 的证书
OpenSSL> req -x509 -nerkey rsa:2048 -out rootca_cart.pem -keyout rootca_key.pem -config C:\Users\Sunny\Desktop\RootCA\openssl.cnf
# Step4:将 rootca_cart.pem 命名为 cacert.pem 拷贝到 demoCA 根目录替换原文件,将 rootca_key.pem 命名为 cakey.pem 拷贝到 demoCA/private 目录,替换原文件
# Step5:创建 SubCA 目录
C:\Users\Sunny\Desktop
λ mkdir SubCA

C:\Users\Sunny\Desktop
λ cd SubCA\

C:\Users\Sunny\Desktop\SubCA
λ
# Step6:将 openssl.exe、openssl.cnf、ca.pl 拷贝到 RootCA 目录,创建 SubCA目录,创建 demoCA 目录
C:\Users\Sunny\Desktop\SubCA
λ perl ca.pl -newca
# Step7:创建由 RootCA 签发的 SubCA 的证书和密钥
OpenSSL> req -new -nerkey rsa:2048 -out subca_req.pem -keyout subca_key.pem -config C:\Users\Sunny\Desktop\SubCA\openssl.cnf
# 此时将 subca_key.pem 文件拷贝到 SubCA/demoCA/prvate 目录下,替换原文件
# Step8:将证书请求提交给 RootCA 签发,首先将 subca_req.pem 拷贝到 RootCA 目录下,执行签发命令
OpenSSL> ca -in subca_req.pem -out subca_cert.pem -notext -extensions v3_ca -config C:\Users\Sunny\Desktop\RootCA\openssl.cnf
# 此时将 subca_cert.pem 文件命名为 cacert.pem,拷贝到 SubCA/demoCA 的根目录下,替换原文件
# 至此,RootCA 和 SubCA 已经配置完成,可以进行签发用户证书了
# Step9:签发用户证书 A,切换到 RootCA 目录下
C:\Users\FengGuodong\Desktop\RootCA
λ openssl
OpenSSL> req -new -newkey rsa:1024 -out userA_req.pem -keyout userA_key.pem -config C:\Users\Sunny\Desktop\RootCA\openssl.cnf
OpenSSL> ca -in userA_req.pem -out userA_cert.pem -notext -config C:\Users\Sunny\Desktop\RootCA\openssl.cnf
# Step10:签发用户证书 B,切换到 SubCA 目录下
C:\Users\FengGuodong\Desktop\SubCA
λ openssl
OpenSSL> req -new -newkey rsa:1024 -out userB_req.pem -keyout userB_key.pem -config C:\Users\Sunny\Desktop\SubCA\openssl.cnf
OpenSSL> ca -in userB_req.pem -out userB_cert.pem -notext -config C:\Users\Sunny\Desktop\SubCA\openssl.cnf

使用证书

X.509 证书

x509 指令格式:

OpenSSL> x509 -help
Usage: x509 [options]
Valid options are:
 -help                      Display this summary
 -inform format             Input format - default PEM (one of DER or PEM)
 -in infile                 Input file - default stdin
 -outform format            Output format - default PEM (one of DER or PEM)
 -out outfile               Output file - default stdout
 -keyform PEM|DER|ENGINE    Private key format - default PEM
 -passin val                Private key password/pass-phrase source
 -serial                    Print serial number value
 -subject_hash              Print subject hash value
 -issuer_hash               Print issuer hash value
 -hash                      Synonym for -subject_hash
 -subject                   Print subject DN
 -issuer                    Print issuer DN
 -email                     Print email address(es)
 -startdate                 Set notBefore field
 -enddate                   Set notAfter field
 -purpose                   Print out certificate purposes
 -dates                     Both Before and After dates
 -modulus                   Print the RSA key modulus
 -pubkey                    Output the public key
 -fingerprint               Print the certificate fingerprint
 -alias                     Output certificate alias
 -noout                     No output, just status
 -nocert                    No certificate output
 -ocspid                    Print OCSP hash values for the subject name and public key
 -ocsp_uri                  Print OCSP Responder URL(s)
 -trustout                  Output a trusted certificate
 -clrtrust                  Clear all trusted purposes
 -clrext                    Clear all certificate extensions
 -addtrust val              Trust certificate for a given purpose
 -addreject val             Reject certificate for a given purpose
 -setalias val              Set certificate alias
 -days int                  How long till expiry of a signed certificate - def 30 days
 -checkend intmax           Check whether the cert expires in the next arg seconds
                            Exit 1 if so, 0 if not
 -signkey val               Self sign cert with arg
 -x509toreq                 Output a certification request object
 -req                       Input is a certificate request, sign and output
 -CA infile                 Set the CA certificate, must be PEM format
 -CAkey val                 The CA key, must be PEM format; if not in CAfile
 -CAcreateserial            Create serial number file if it does not exist
 -CAserial val              Serial file
 -set_serial val            Serial number to use
 -text                      Print the certificate in text form
 -ext val                   Print various X509V3 extensions
 -C                         Print out C code forms
 -extfile infile            File with X509V3 extensions to add
 -rand val                  Load the file(s) into the random number generator
 -writerand outfile         Write random data to the specified file
 -extensions val            Section from config file to use
 -nameopt val               Various certificate name options
 -certopt val               Various certificate text options
 -checkhost val             Check certificate matches host
 -checkemail val            Check certificate matches email
 -checkip val               Check certificate matches ipaddr
 -CAform PEM|DER            CA format - default PEM
 -CAkeyform PEM|DER|ENGINE  CA key format - default PEM
 -sigopt val                Signature parameter in n:v form
 -force_pubkey infile       Force the Key to put inside certificate
 -next_serial               Increment current certificate serial number
 -clrreject                 Clears all the prohibited or rejected uses of the certificate
 -badsig                    Corrupt last byte of certificate signature (for test)
 -*                         Any supported digest
 -subject_hash_old          Print old-style (MD5) issuer hash value
 -issuer_hash_old           Print old-style (MD5) subject hash value
 -engine val                Use engine, possibly a hardware device
 -preserve_dates            preserve existing dates when signing

例程:

# 查看证书内容
OpenSSL> x509 -in cert.pem -noout -text
# 查看证书序列号
OpenSSL> x509 -in cert.pem -noout -setial
# 查看证书 HASH 值
OpenSSL> x509 -in cert.pem -noout -hash
# 查看 MD5 指纹信息
OpenSSL> x509 -in cert.pem -noout -fingerprint
# PEM 格式转 DER
OpenSSL> x509 -in cert.pem inform PEM -out cert.der -outform DER
# 将证书转换为证书请求
OpenSSL> x509 -x509toreq -in cert.pem -out req.pem -signkey key.pem

CRL

所谓 CRL,即为一系列已经被吊销的证书的序列号文件。
crl 指令格式:

OpenSSL> crl -help
Usage: crl [options]
Valid options are:
 -help             Display this summary
 -inform PEM|DER   Input format; default PEM
 -in infile        Input file - default stdin
 -outform PEM|DER  Output format - default PEM
 -out outfile      output file - default stdout
 -keyform PEM|DER  Private key file format (PEM or ENGINE)
 -key infile       CRL signing Private key to use
 -issuer           Print issuer DN
 -lastupdate       Set lastUpdate field
 -nextupdate       Set nextUpdate field
 -noout            No CRL output
 -fingerprint      Print the crl fingerprint
 -crlnumber        Print CRL number
 -badsig           Corrupt last byte of loaded CRL signature (for test)
 -gendelta infile  Other CRL to compare/diff to the Input one
 -CApath dir       Verify CRL using certificates in dir
 -CAfile infile    Verify CRL using certificates in file name
 -no-CAfile        Do not load the default certificates file
 -no-CApath        Do not load certificates from the default certificates directory
 -verify           Verify CRL signature
 -text             Print out a text format version
 -hash             Print hash value
 -nameopt val      Various certificate name options
 -*                Any supported digest
 -hash_old         Print old-style (MD5) hash value

例程:

# CRL 文件 PEM 格式转换为 DER
OpenSSL> crl -in crl.pem -outform DER -out crl.der
# 输出 DER 格式编码的证书吊销列表的文本
OpenSSL> crl -in crl.der -text -noout

PCKS#12 证书

pkcs12 指令格式:

OpenSSL> pkcs12 -help
Usage: pkcs12 [options]
Valid options are:
 -help               Display this summary
 -nokeys             Don't output private keys
 -keyex              Set MS key exchange type
 -keysig             Set MS key signature type
 -nocerts            Don't output certificates
 -clcerts            Only output client certificates
 -cacerts            Only output CA certificates
 -noout              Don't output anything, just verify
 -info               Print info about PKCS#12 structure
 -chain              Add certificate chain
 -twopass            Separate MAC, encryption passwords
 -nomacver           Don't verify MAC
 -descert            Encrypt output with 3DES (default RC2-40)
 -certpbe val        Certificate PBE algorithm (default RC2-40)
 -export             Output PKCS12 file
 -noiter             Don't use encryption iteration
 -maciter            Use MAC iteration
 -nomaciter          Don't use MAC iteration
 -nomac              Don't generate MAC
 -LMK                Add local machine keyset attribute to private key
 -nodes              Don't encrypt private keys
 -macalg val         Digest algorithm used in MAC (default SHA1)
 -keypbe val         Private key PBE algorithm (default 3DES)
 -rand val           Load the file(s) into the random number generator
 -writerand outfile  Write random data to the specified file
 -inkey val          Private key if not infile
 -certfile infile    Load certs from file
 -name val           Use name as friendly name
 -CSP val            Microsoft CSP name
 -caname val         Use name as CA friendly name (can be repeated)
 -in infile          Input filename
 -out outfile        Output filename
 -passin val         Input file pass phrase source
 -passout val        Output file pass phrase source
 -password val       Set import/export password source
 -CApath dir         PEM-format directory of CA's
 -CAfile infile      PEM-format file of CA's
 -no-CAfile          Do not load the default certificates file
 -no-CApath          Do not load certificates from the default certificates directory
 -*                  Any supported cipher
 -engine val         Use engine, possibly a hardware device

例程:

# 生成一个 PKCS#12 证书
OpenSSL> pkcs12 -export -in Mycert.pem -inkey Mykey.pem -out file.p12 -name "MyCert"
# 添加额外证书
OpenSSL> pkcs12 -export -in Mycert.pem -inkey Mykey.pem -out file.p12 -name "MyCert" -certfile Mycert1.pem
# 查看证书结构和信息
OpenSSL> pkcs12 -in file.p12 -info -noout
# 分解证书
OpenSSL> pkcs12 -in file.p12 -out file.pem
# 分解得到客户证书信息
OpenSSL> pkcs12 -in file.p12 -clcerts -out file.pem

PCKS#7 证书

pkcs7 指令格式:

OpenSSL> pkcs7 -help
Usage: pkcs7 [options]
Valid options are:
 -help             Display this summary
 -inform PEM|DER   Input format - DER or PEM
 -in infile        Input file
 -outform PEM|DER  Output format - DER or PEM
 -out outfile      Output file
 -noout            Don't output encoded data
 -text             Print full details of certificates
 -print            Print out all fields of the PKCS7 structure
 -print_certs      Print_certs  print any certs or crl in the input
 -engine val       Use engine, possibly a hardware device

例程:

# PEM 转 DER
OpenSSL> pkcs7 -in file.pem -outform DER -out file.der
# 输出文件中的所有证书
OpenSSL> pkcs7 -in file.pem -print_certs -out certs.pem

验证证书

证书验证过程

  1. 确认证书内容正确完整,没有被篡改,CA 签名是正确的。
  2. 确认证书有效,在有效期内没有被吊销(证书序列号不在 CRL 中)。
  3. 确认 CA 证书是可被信任的,如果 CA 证书不是根证书,还要继续对 CA 证书进行验证。
  4. 通过与用户交互,基于证书中的公钥和公开密钥算法确认用户身份:
    (1)被验证方发送自己的证书给验证方。
    (2)验证方提前证书中的公钥,并产生一个随机数 Rp,使用该公钥加密随机数得到加密的随机数 Re,并发给被验证方。
    (3)被验证方使用自己的私钥解密 Re 得到 Rep 并返回给验证方。
    (4)验证方对比 Rp 和 Rep,如果一致,则验证通过,否则,验证不通过。

verify 指令介绍

指令格式:

OpenSSL> verify -help
Usage: verify [options] cert.pem...
Valid options are:
 -help                 Display this summary
 -verbose              Print extra information about the operations being performed.
 -CApath dir           A directory of trusted certificates
 -CAfile infile        A file of trusted certificates
 -no-CAfile            Do not load the default certificates file
 -no-CApath            Do not load certificates from the default certificates directory
 -untrusted infile     A file of untrusted certificates
 -trusted infile       A file of trusted certificates
 -CRLfile infile       File containing one or more CRL's (in PEM format) to load
 -crl_download         Attempt to download CRL information for this certificate
 -show_chain           Display information about the certificate chain
 -nameopt val          Various certificate name options
 -policy val           adds policy to the acceptable policy set
 -purpose val          certificate chain purpose
 -verify_name val      verification policy name
 -verify_depth int     chain depth limit
 -auth_level int       chain authentication security level
 -attime intmax        verification epoch time
 -verify_hostname val  expected peer hostname
 -verify_email val     expected peer email
 -verify_ip val        expected peer IP address
 -ignore_critical      permit unhandled critical extensions
 -issuer_checks        (deprecated)
 -crl_check            check leaf certificate revocation
 -crl_check_all        check full chain revocation
 -policy_check         perform rfc5280 policy checks
 -explicit_policy      set policy variable require-explicit-policy
 -inhibit_any          set policy variable inhibit-any-policy
 -inhibit_map          set policy variable inhibit-policy-mapping
 -x509_strict          disable certificate compatibility work-arounds
 -extended_crl         enable extended CRL features
 -use_deltas           use delta CRLs
 -policy_print         print policy processing diagnostics
 -check_ss_sig         check root CA self-signatures
 -trusted_first        search trust store first (default)
 -suiteB_128_only      Suite B 128-bit-only mode
 -suiteB_128           Suite B 128-bit mode allowing 192-bit algorithms
 -suiteB_192           Suite B 192-bit-only mode
 -partial_chain        accept chains anchored by intermediate trust-store CAs
 -no_alt_chains        (deprecated)
 -no_check_time        ignore certificate validity time
 -allow_proxy_certs    allow the use of proxy certificates
 -engine val           Use engine, possibly a hardware device
Recognized usages:
        sslclient       SSL client
        sslserver       SSL server
        nssslserver     Netscape SSL server
        smimesign       S/MIME signing
        smimeencrypt    S/MIME encryption
        crlsign         CRL signing
        any             Any Purpose
        ocsphelper      OCSP helper
        timestampsign   Time Stamp signing
Recognized verify names:
        default
        pkcs7
        smime_sign
        ssl_client
        ssl_server

例程:

penSSL> verify -CApath C:\cacert.pem -verbose cert1.pem -verbose cert1.pem

在线状态服务程序指令 ocsp

OCSP(Online Certificate Status Protocol),在线证书状态协议,用于确定证书状态,比如是否被吊销等。OCSP 响应器通常返回给客户端的状态信息包括三种:良好、吊销和未知。
安全起见,每个 OSCP 信息都必须签名,所有用于必须对每一个回应信息进行验证。在 OpenSSL 的实践中,签名者可以是:被验证证书的 CA、被验证证书的 CA特殊授权的 OCSP 响应器、被信任的 OCSP 响应器。
命令格式:

OpenSSL> ocsp -help
Usage: ocsp [options]
Valid options are:
 -help                   Display this summary
 -out outfile            Output filename
 -timeout +int           Connection timeout (in seconds) to the OCSP responder
 -url val                Responder URL
 -host val               TCP/IP hostname:port to connect to
 -port +int              Port to run responder on
 -ignore_err             Ignore error on OCSP request or response and continue running
 -noverify               Don't verify response at all
 -nonce                  Add OCSP nonce to request
 -no_nonce               Don't add OCSP nonce to request
 -resp_no_certs          Don't include any certificates in response
 -resp_key_id            Identify response by signing certificate key ID
 -no_certs               Don't include any certificates in signed request
 -no_signature_verify    Don't check signature on response
 -no_cert_verify         Don't check signing certificate
 -no_chain               Don't chain verify response
 -no_cert_checks         Don't do additional checks on signing certificate
 -no_explicit            Do not explicitly check the chain, just verify the root
 -trust_other            Don't verify additional certificates
 -no_intern              Don't search certificates contained in response for signer
 -badsig                 Corrupt last byte of loaded OSCP response signature (for test)
 -text                   Print text form of request and response
 -req_text               Print text form of request
 -resp_text              Print text form of response
 -reqin val              File with the DER-encoded request
 -respin val             File with the DER-encoded response
 -signer infile          Certificate to sign OCSP request with
 -VAfile infile          Validator certificates file
 -sign_other infile      Additional certificates to include in signed request
 -verify_other infile    Additional certificates to search for signer
 -CAfile infile          Trusted certificates file
 -CApath infile          Trusted certificates directory
 -no-CAfile              Do not load the default certificates file
 -no-CApath              Do not load certificates from the default certificates directory
 -validity_period ulong  Maximum validity discrepancy in seconds
 -status_age +int        Maximum status age in seconds
 -signkey val            Private key to sign OCSP request with
 -reqout val             Output file for the DER-encoded request
 -respout val            Output file for the DER-encoded response
 -path val               Path to use in OCSP request
 -issuer infile          Issuer certificate
 -cert infile            Certificate to check
 -serial val             Serial number to check
 -index infile           Certificate status index file
 -CA infile              CA certificate
 -nmin +int              Number of minutes before next update
 -nrequest +int          Number of requests to accept (default unlimited)
 -ndays +int             Number of days before next update
 -rsigner infile         Responder certificate to sign responses with
 -rkey infile            Responder key to sign responses with
 -rother infile          Other certificates to include in response
 -rmd val                Digest Algorithm to use in signature of OCSP response
 -rsigopt val            OCSP response signature parameter in n:v form
 -header val             key=value header to add
 -*                      Any supported digest algorithm (sha1,sha256, ... )
 -policy val             adds policy to the acceptable policy set
 -purpose val            certificate chain purpose
 -verify_name val        verification policy name
 -verify_depth int       chain depth limit
 -auth_level int         chain authentication security level
 -attime intmax          verification epoch time
 -verify_hostname val    expected peer hostname
 -verify_email val       expected peer email
 -verify_ip val          expected peer IP address
 -ignore_critical        permit unhandled critical extensions
 -issuer_checks          (deprecated)
 -crl_check              check leaf certificate revocation
 -crl_check_all          check full chain revocation
 -policy_check           perform rfc5280 policy checks
 -explicit_policy        set policy variable require-explicit-policy
 -inhibit_any            set policy variable inhibit-any-policy
 -inhibit_map            set policy variable inhibit-policy-mapping
 -x509_strict            disable certificate compatibility work-arounds
 -extended_crl           enable extended CRL features
 -use_deltas             use delta CRLs
 -policy_print           print policy processing diagnostics
 -check_ss_sig           check root CA self-signatures
 -trusted_first          search trust store first (default)
 -suiteB_128_only        Suite B 128-bit-only mode
 -suiteB_128             Suite B 128-bit mode allowing 192-bit algorithms
 -suiteB_192             Suite B 192-bit-only mode
 -partial_chain          accept chains anchored by intermediate trust-store CAs
 -no_alt_chains          (deprecated)
 -no_check_time          ignore certificate validity time
 -allow_proxy_certs      allow the use of proxy certificates

例程:

# 创建一个 ocsp 请求,并把它写入文件
OpenSSL> ocsp -issure issure.pem -cert c1.pem -cert c2.pem -reqout req.der
# 发送一个查询到 OCSP 响应器,保存返回响应到文件中,并以文本格式打印
OpenSSL> ocsp -issure issure.pem -cert c1.pem -cert c2.pem -url http://ocsp.host.com/ -resp_text -respout resp.der
# 读一个 ocsp 响应,并以文本格式打印出来
penSSL> ocsp -respin resp.der -text
# OCSP 服务使用 8888 端口,安装标准 CA 配置并使用独立响应者证书,所有的响应和请求以文本格式写入指定输出文件
OpenSSL> ocsp index index.txt -port 888 -resigner rcert.pem -CA cacert.pem -text -out log.txt
# OCSP 服务使用 8888 端口,安装标准 CA 配置并使用独立响应者证书,但处理一个 OCSP 请求后立即退出
OpenSSL> ocsp index index.txt -port 888 -resigner rcert.pem -CA cacert.pem -nrequest 1
# 从指令行产生一个 OCSP 请求,并实时到 OCSP 服务查询其状态信息
OpenSSL> ocsp index index.txt -resigner rcert.pem -CA cacert.pem -issuer cacert.pem -serial 1

你可能感兴趣的:(OpenSSL,openssl,ca证书)

  • Linux MariaDB使用OpenSSL安装SSL证书 Meta39 MySQLOracleMariaDBLinuxWindowsssllinuxmariadb
    进入到证书存放目录,批量删除.pem证书警告:确保已经进入到证书存放目录find.-typef-iname\*.pem-delete查看是否安装OpenSSLopensslversion没有则安装yuminstallopensslopenssl-devel开启SSL编辑/etc/my.cnf文件(没有的话就创建,但是要注意,在/etc/my.cnf.d/server.cnf配置了datadir的,
  • openssl+keepalived安装部署 _小亦_ 项目部署keepalivedopenssl
    文章目录OpenSSL安装下载地址编译安装修改系统配置版本Keepalived安装下载地址安装遇到问题安装完成配置文件keepalived运行检查运行状态查看系统日志修改服务service重新加载systemd检查配置文件语法错误OpenSSL安装下载地址考虑到后面设备可能没法连接到外网,所以采用安装包的方式进行部署,下载地址:https://www.openssl.org/source/old/
  • k8s证书过期问题处理 olina_qin kubernetes容器云原生
    k8s证书过期问题处理opensslx509-in/etc/kubernetes/pki/apiserver.crt-noout-dateskubeadmcertsrenewallsystemctlrestartkubeleopensslx509-in/etc/kubernetes/pki/apiserver.crt-noout-text|grep"NotAfter"cp/etc/kubernet
  • 处理绿盟科技安全评估的系统漏洞 自我修炼的小石头 数据库运维开发工具
    如下图一次扫描,中度风险39个,这个是必须要处理的.其中mysql占了36个,一看这个感觉整个人都不好了.但是最后解决的办法也很简单,就是升级.系统版本Redhat7.31.telnet因为要升级openssh,openssl,为了避免意外,首先要开启telnet服务,并把所有相关的包上传到服务器.1.1确认是否安装了telnet和xinetd(默认是没有安装)rpm-qatelnet*rpm-q
  • ios私钥证书(p12)导入失败,Windows OpenSSl 1.1.1 下载 书边事. 其他
    ios私钥证书(p12)导入失败如果你用的OpenSSL版本是v3那么恭喜你V3必然报这个错,解决办法将OpenSSL3降低成v1。WindowsOpenSSl1.1.1下载阿里云网盘下载地址:OpenSSLV1
  • springBoot 集成https ourLang javaspringboothttpsjava
    springBoot集成https1、springBoot默认的证书格式pringBoot需要.p12或.jks格式的证书。如果你只有.pem和.key文件,可以使用openssl工具将它们转换成.p12文件2、转换.p12我的证书文件如下,需要转换2.1下载opensslhttps://slproweb.com/download/Win64OpenSSL-3_3_2.exe2.2执行命令生成.p
  • npm dev时遇到错误“error:0308010C:digital envelope routines::unsupported“的解决办法 _Eolin npm前端node.js
    报错:opensslErrorStack:['error:03000086:digitalenveloperoutines::initializationerror'], library:'digitalenveloperoutines', reason:'unsupported', code:'ERR_OSSL_EVP_UNSUPPORTED'顺便看了一下错误堆栈,发现是一个Node的内核文件抛
  • flask下https教程 云帆@ flaskflaskhttpspython
    一、定义linux下flaskhttps协议二、实现linux下flaskhttps协议生成SSL证书和密钥文件。您可以使用工具如openssl来生成自签名SSL证书和密钥文件。运行以下命令生成证书和密钥文件:opensslreq-x509-newkeyrsa:4096-nodes-outcert.pem-keyoutkey.pem-days3652.将生成的cert.pem和key.pem文件放
  • 解决pip安装第三方包SSL证书验证失败的问题:从更新pip到使用国内镜像源 小柒笔记 sslpython网络协议
    当你在使用pip安装第三方Python包时遇到[SSL:CERTIFICATE_VERIFY_FAILED]错误,这通常意味着pip在尝试访问包索引服务器时遇到了SSL证书验证失败的问题。这个问题可能由多种原因引起,包括但不限于:电脑上的CA证书链不完整或过期。网络环境(如公司或学校网络)可能拦截或篡改了SSL连接。使用了自定义的SSL代理。解决方案1.更新你的pip和setuptools确保你的
  • lnmt架构 有点小忧郁 Linux课程
    lnmt架构安装nginx//创建系统用户nginx[root@localhost~]#useradd-r-M-s/sbin/nologinnginx//安装依赖环境[root@localhost~]#yum-yinstallpcre-developensslopenssl-develgd-develgccgcc-c++[root@localhost~]#yum-ygroupsmarkinstal
  • CTF 竞赛密码学方向学习路径规划 David Max CTF学习笔记密码学ctf信息安全
    目录计算机科学基础计算机科学概念的引入、兴趣的引导开发环境的配置与常用工具的安装WattToolkit(Steam++)、机场代理Scoop(Windows用户可选)常用Python库SageMathLinux小工具yafuOpenSSLMarkdown编程基础Python其他编程语言、算法与数据结构(可选)数学基础离散数学与抽象代数复杂性分析密码学的正式学习兴趣的培养做题小技巧系统学习需要了解并
  • telnet yum linux安装,CentOS 7 LINUX下安装telnet服务 WebWarrior telnetyumlinux安装
    在CentOS7下升级了openssl和openssh,顺便装了下telnet服务。#安装telnet避免ssh无法登录yum-yinstallxinetdtelnettelnet-server在telnet情况下root登录提示loginincorrectlinux默认情况下root用户使用telnet是登录不了的,需要修改/etc/secruetty文件#允许root账号登陆vi/etc/se
  • Ubuntu 安装 Docker 不爱开发的干饭人 docker容器运维
    1、卸载旧版本旧版本的Docker称为docker或者docker-engine,使用以下命令卸载旧版本:sudoapt-getremovedocker\docker-engine\docker.io2、使用APT安装由于apt源使用HTTPS以确保软件下载过程中不被篡改。因此,我们首先需要添加使用HTTPS传输的软件包以及CA证书。sudoapt-getupdatesudoapt-getinst
  • 普通用户下Nginx 安装与启动教程 ascarl2010 Nginxnginx运维linux
    Nginx安装与启动教程本教程介绍如何在Linux环境中,通过root和qrcode用户进行Nginx的安装、配置与管理。1.以root用户登录并执行以下命令安装依赖sudoyuminstall-ygccmakepcre-develzlib-developenssl-develwget这些依赖是为了编译和安装Nginx所必需的库和工具。2.切换到qrcode用户接下来,我们将切换到qrcode用户
  • 了解一下HTTP 与 HTTPS 的区别 理想青年宁兴星 网络协议httphttps网络协议
    介绍:HTTP是超文本传输协议。规定了客户端(通常是浏览器)和服务器之间如何传输超文本,也就是包含链接的文本。通常使用TCP【1】/IP协议来传输数据,默认端口为80。HTTPS是超文本传输安全协议,具有CA证书。在HTTP的基础上增加了TLS【2】协议,为数据传输提供了加密、数据完整性和身份验证保护,默认端口为443。特点:HTTP:无状态性:每次请求都是独立的,服务器不会记住之前的请求或用户信
  • macOS 安装 Homebrew 玉梅小洋 macOS工具使用macos
    Homebrew是macOS上非常流行的包管理工具,可以用来安装各种软件和库。Homebrew安装/bin/bash-c"$(curl-fsSLhttps://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"使用Homebrew安装库例如,如果你想安装openssl库,可以使用以下命令:brewinstallopenssl
  • ubuntu编译安装python_Ubuntu16 编译安装Python3.6 weixin_39623671
    一、下载替换Ubuntu16的阿里源,参考官方配置apt-getupate#安装必要组件apt-getinstallopensslhtopiftoplibssl-devzlib1g-devmakegccwgetpython3-pipwgethttps://www.python.org/ftp/python/3.6.9/Python-3.6.9.tar.xz二、解压xz-dPython-3.6.9.
  • 移动端防抓包实践 杨充 Android高级进阶网络服务器java
    目录介绍01.整体概述介绍1.1项目背景1.2思考问题1.3设计目标1.4收益分析02.市面抓包的分析2.1Https三要素2.2抓包核心原理2.3搞定CA证书2.4突破CA证书校验2.5如何搞定加解密2.6Charles原理2.7抓包原理图2.8抓包核心流程03.防止抓包思路3.1先看如何抓包3.2设置配置文件3.3数据加密处理3.4避免黑科技抓包04.防抓包实践开发4.1App安全配置4.2关
  • paramiko和cryptography的关系 0914_h 安全python3cryptography
    1、错误:fromcryptography.hazmat.bindings._constant_timeimportlibModuleNotFoundError:解答:先安装:sudoapt-getinstalllibffi-dev之后安装:sudopip3installcryptographysudoapt-getinstallopenssl还得安装:pipinstallparamiko2、
  • Anaconda 没办法安装和更新(CondaHTTPError: HTTP 000 CONNECTION FAILED for url) HappyJoo
    CondaHTTPError:HTTP000CONNECTIONFAILEDforurl不知道为什么,在window10更新之后,亦或者是不知道什么时候,很久没有用anaconda了,反正就是不能update或者install任何东西,会出现上面这个提示,下面还有一堆错误我没有贴上来,现在问题解决了,之前的错误忘了复制~解决方法:反正就是去安装个openssl就可以了。我贴一个知乎的回答~Cond
  • 第二章-数据传输安全 2401_84301389 程序员安全网络
    4)数字证书数字证书:包含公钥和使用者的身份信息、颁发者CA、有效期、数字证书等CA证书认证机构:负责颁发证书PKI公钥基础设施体系:证书管理平台–只要应用电子商务PKI:终端实体、CA证书认证机构、RA证书注册机构、证书/CRL存储库数字证书分类:根证书:CA机构自己给自己颁发的证书设备证书:CA机构颁发给服务器的证书用户证书:CA机构颁发给个人的证书5)数据传输安全步骤传输步骤说明:发送端:发
  • 使用 OpenSSL 创建自签名证书 乐优刘@0724 nginx运维
    mkdir-p/etc/nginx/conf.d/cert#2、创建私钥opensslgenrsa-des3-outhttps.key1024提示输入字符:输入字符:rancher[root@ocean-app-1a-01cert]#opensslgenrsa-des3-outhttps.key1024GeneratingRSAprivatekey,1024bitlongmodulus…+++++
  • fastdfs 04 安装fastdfs-nginx-module支持http Herman7z
    在余大的GitHub上下载好fastdfs-nginx-module上传到我们的CentOS中就可以开始安装了,在安装nginx之前需要先安装一些模块依赖的lib库,直接贴出安装代码:yum-yinstallpcrepcre-develyum-yinstallzlibzlib-develyum-yinstallopensslopenssl-devel依次装好这些依赖之后就可以开始安装nginx了。
  • openssl生成数字证书 wacpguo 网络服务器运维
    openssl生成CA证书_opensslindex.txt:nosuchfileordirectory-CSDN博客https://blog.csdn.net/cowbin2012/article/details/100134114
  • 在 Windows下用 Visual Studio 编译 OpenSSL 1.1.0 Oo璀璨星海oO PKI
    到OpenSSL官方网站下载OpenSSL源代码包1、下载openssl-1.1.0.tar.gz2、安装ActivePerl,可以到http://www.activestate.com/activeperl/downloads下载最新版本,需要用到perl解释器。注:Perl最低版本要求5.10以上,WindowsXP用户最后支持版本ActivePerl5.20.2.2002版本3、使用VS20
  • nginx正向代理-内网服务器通过代理服务器访问外部网络 kiboyiscoming JAVAnginx正向代理nginxjavalinux
    #1.安装编译工具yuminstallgccgcc-c++make-yyuminstallrpm-buildrpmdevtools-y2.安装依赖yuminstallpcre-develpcre-yyuminstallzlib-develzlib-yyuminstallopenssl-developenssl-yyuminstallredhat-lsb-core-yyuminstallgit-y3
  • centos7安装python3.11 林光虚霁晓 补充python3.11
    1安装依赖sudoyum-yupdatesudoyum-yinstallopenssl-develbzip2-develexpat-develgdbm-develreadline-develsqlite-develpsmisclibffi-devel-ysudoyum-ygroupinstall"DevelopmentTools"2安装必需的openssl>=1.1.1wgethttps://ww
  • Node:解决Error: error:0308010C:digital envelope routines::unsupported的解决方法 码上言 分享vue
    问题描述在使用vuepress搭建博客的时候,运行项目发现报错了,检查了node的版本是18+,之前用的是16或14的版本,现在报:Error:error:0308010C:digitalenveloperoutines::unsupported错误。查找了一些资料,大致明白了报错的原因:主要是因为node17版本发布了OpenSSL3.0对算法和秘钥大小增加了更为严格的限制,node17之前版本
  • error:0308010C:digital envelope routines::unsupported【超详细图解】 舊時王謝堂前燕 前端node.jsnpm
    目录一、报错信息二、分析原因三、解决方案一、报错信息二、分析原因node.js18不兼容oppsll,node.jsv17以上版本中最近发布的OpenSSL3.0,而OpenSSL3.0对允许算法和密钥大小增加了严格的限制三、解决方案方案1:打开终端,直接输入Linux&MacOS:exportNODE_OPTIONS=--openssl-legacy-providerWindows:setNOD
  • Win生成git的公私钥 J不A秃V头A Javagitjava
    在Windows上生成Git的公钥和私钥,可以通过几种不同的方法实现,以下是使用最常见工具(如GitBash、PuTTYgen和OpenSSL)的详细步骤:一、使用GitBash生成密钥对安装GitforWindows:如果尚未安装Git,请从Git官网下载并安装GitforWindows。安装过程中,请确保选择包含GitBash的选项。打开GitBash:安装完成后,找到并打开GitBash。生
  • apache ftpserver-CentOS config gengzg apache
    <server xmlns="http://mina.apache.org/ftpserver/spring/v1" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation=" http://mina.apache.o
  • 优化MySQL数据库性能的八种方法 AILIKES sqlmysql
    1、选取最适用的字段属性   MySQL可以很好的支持大数据量的存取,但是一般说来,数据库中的表越小,在它上面执行的查询也就会越快。因此,在创建表的时候,为了获得更好的 性能,我们可以将表中字段的宽度设得尽可能小。例如,在定义邮政编码这个字段时,如果将其设置为CHAR(255),显然给数据库增加了不必要的空间,甚至使用VARCHAR这种类型也是多余的,因为CHAR(6)就可以很
  • JeeSite 企业信息化快速开发平台 Kai_Ge JeeSite
    JeeSite 企业信息化快速开发平台 平台简介 JeeSite是基于多个优秀的开源项目,高度整合封装而成的高效,高性能,强安全性的开源Java EE快速开发平台。 JeeSite本身是以Spring Framework为核心容器,Spring MVC为模型视图控制器,MyBatis为数据访问层, Apache Shiro为权限授权层,Ehcahe对常用数据进行缓存,Activit为工作流
  • 通过Spring Mail Api发送邮件 120153216 邮件main
    原文地址:http://www.open-open.com/lib/view/open1346857871615.html 使用Java Mail API来发送邮件也很容易实现,但是最近公司一个同事封装的邮件API实在让我无法接受,于是便打算改用Spring Mail API来发送邮件,顺便记录下这篇文章。 【Spring Mail API】 Spring Mail API都在org.spri
  • Pysvn 程序员使用指南 2002wmj SVN
    源文件:http://ju.outofmemory.cn/entry/35762 这是一篇关于pysvn模块的指南. 完整和详细的API请参考 http://pysvn.tigris.org/docs/pysvn_prog_ref.html. pysvn是操作Subversion版本控制的Python接口模块. 这个API接口可以管理一个工作副本, 查询档案库, 和同步两个. 该
  • 在SQLSERVER中查找被阻塞和正在被阻塞的SQL 357029540 SQL Server
    SELECT  R.session_id AS BlockedSessionID ,          S.session_id AS BlockingSessionID ,          Q1.text AS Block
  • Intent 常用的用法备忘 7454103 .netandroidGoogleBlogF#
    Intent     应该算是Android中特有的东西。你可以在Intent中指定程序 要执行的动作(比如:view,edit,dial),以及程序执行到该动作时所需要的资料 。都指定好后,只要调用startActivity(),Android系统 会自动寻找最符合你指定要求的应用 程序,并执行该程序。 下面列出几种Intent 的用法 显示网页:
  • Spring定时器时间配置 adminjun spring时间配置定时器
    红圈中的值由6个数字组成,中间用空格分隔。第一个数字表示定时任务执行时间的秒,第二个数字表示分钟,第三个数字表示小时,后面三个数字表示日,月,年,< xmlnamespace prefix ="o" ns ="urn:schemas-microsoft-com:office:office" /> 测试的时候,由于是每天定时执行,所以后面三个数
  • POJ 2421 Constructing Roads 最小生成树 aijuans 最小生成树
    来源:http://poj.org/problem?id=2421 题意:还是给你n个点,然后求最小生成树。特殊之处在于有一些点之间已经连上了边。 思路:对于已经有边的点,特殊标记一下,加边的时候把这些边的权值赋值为0即可。这样就可以既保证这些边一定存在,又保证了所求的结果正确。 代码: #include <iostream> #include <cstdio>
  • 重构笔记——提取方法(Extract Method) ayaoxinchao java重构提炼函数局部变量提取方法
    提取方法(Extract Method)是最常用的重构手法之一。当看到一个方法过长或者方法很难让人理解其意图的时候,这时候就可以用提取方法这种重构手法。   下面是我学习这个重构手法的笔记:   提取方法看起来好像仅仅是将被提取方法中的一段代码,放到目标方法中。其实,当方法足够复杂的时候,提取方法也会变得复杂。当然,如果提取方法这种重构手法无法进行时,就可能需要选择其他
  • 为UILabel添加点击事件 bewithme UILabel
        默认情况下UILabel是不支持点击事件的,网上查了查居然没有一个是完整的答案,现在我提供一个完整的代码。   UILabel *l = [[UILabel alloc] initWithFrame:CGRectMake(60, 0, listV.frame.size.width - 60, listV.frame.size.height)]
  • NoSQL数据库之Redis数据库管理(PHP-REDIS实例) bijian1013 redis数据库NoSQL
    一.redis.php <?php //实例化 $redis = new Redis(); //连接服务器 $redis->connect("localhost"); //授权 $redis->auth("lamplijie"); //相关操
  • SecureCRT使用备注 bingyingao secureCRT每页行数
    SecureCRT日志和卷屏行数设置 一、使用securecrt时,设置自动日志记录功能。 1、在C:\Program Files\SecureCRT\下新建一个文件夹(也就是你的CRT可执行文件的路径),命名为Logs; 2、点击Options -> Global Options -> Default Session -> Edite Default Sett
  • 【Scala九】Scala核心三:泛型 bit1129 scala
    泛型类 package spark.examples.scala.generics class GenericClass[K, V](val k: K, val v: V) { def print() { println(k + "," + v) } } object GenericClass { def main(args: Arr
  • 素数与音乐 bookjovi 素数数学haskell
        由于一直在看haskell,不可避免的接触到了很多数学知识,其中数论最多,如素数,斐波那契数列等,很多在学生时代无法理解的数学现在似乎也能领悟到那么一点。     闲暇之余,从图书馆找了<<The music of primes>>和<<世界数学通史>>读了几遍。其中素数的音乐这本书与软件界熟知的&l
  • Java-Collections Framework学习与总结-IdentityHashMap BrokenDreams Collections
            这篇总结一下java.util.IdentityHashMap。从类名上可以猜到,这个类本质应该还是一个散列表,只是前面有Identity修饰,是一种特殊的HashMap。         简单的说,IdentityHashMap和HashM
  • 读《研磨设计模式》-代码笔记-享元模式-Flyweight bylijinnan java设计模式
    声明: 本文只为方便我个人查阅和理解,详细的分析以及源代码请移步 原作者的博客http://chjavach.iteye.com/ import java.util.ArrayList; import java.util.Collection; import java.util.HashMap; import java.util.List; import java
  • PS人像润饰&调色教程集锦 cherishLC PS
      1、仿制图章沿轮廓润饰——柔化图像,凸显轮廓 http://www.howzhi.com/course/retouching/   新建一个透明图层,使用仿制图章不断Alt+鼠标左键选点,设置透明度为21%,大小为修饰区域的1/3左右(比如胳膊宽度的1/3),再沿纹理方向(比如胳膊方向)进行修饰。   所有修饰完成后,对该润饰图层添加噪声,噪声大小应该和
  • 更新多个字段的UPDATE语句 crabdave update
    更新多个字段的UPDATE语句                    update tableA a set (a.v1, a.v2, a.v3, a.v4) = --使用括号确定更新的字段范围
  • hive实例讲解实现in和not in子句 daizj hivenot inin
    本文转自:http://www.cnblogs.com/ggjucheng/archive/2013/01/03/2842855.html 当前hive不支持 in或not in 中包含查询子句的语法,所以只能通过left join实现。 假设有一个登陆表login(当天登陆记录,只有一个uid),和一个用户注册表regusers(当天注册用户,字段只有一个uid),这两个表都包含
  • 一道24点的10+种非人类解法(2,3,10,10) dsjt 算法
    这是人类算24点的方法?!!! 事件缘由:今天晚上突然看到一条24点状态,当时惊为天人,这NM叫人啊?以下是那条状态 朱明西 : 24点,算2 3 10 10,我LX炮狗等面对四张牌痛不欲生,结果跑跑同学扫了一眼说,算出来了,2的10次方减10的3次方。。我草这是人类的算24点啊。。 然后么。。。我就在深夜很得瑟的问室友求室友算 刚出完题,文哥的暴走之旅开始了 5秒后
  • 关于YII的菜单插件 CMenu和面包末breadcrumbs路径管理插件的一些使用问题 dcj3sjt126com yiiframework
    在使用 YIi的路径管理工具时,发现了一个问题。                    <?php         
  • 对象与关系之间的矛盾:“阻抗失配”效应[转] come_for_dream 对象
    概述   “阻抗失配”这一词组通常用来描述面向对象应用向传统的关系数据库(RDBMS)存放数据时所遇到的数据表述不一致问题。C++程序员已经被这个问题困扰了好多年,而现在的Java程序员和其它面向对象开发人员也对这个问题深感头痛。   “阻抗失配”产生的原因是因为对象模型与关系模型之间缺乏固有的亲合力。“阻抗失配”所带来的问题包括:类的层次关系必须绑定为关系模式(将对象
  • 学习编程那点事 gcq511120594 编程互联网
    一年前的夏天,我还在纠结要不要改行,要不要去学php?能学到真本事吗?改行能成功吗?太多的问题,我终于不顾一切,下定决心,辞去了工作,来到传说中的帝都。老师给的乘车方式还算有效,很顺利的就到了学校,赶巧了,正好学校搬到了新校区。先安顿了下来,过了个轻松的周末,第一次到帝都,逛逛吧! 接下来的周一,是我噩梦的开始,学习内容对我这个零基础的人来说,除了勉强完成老师布置的作业外,我已经没有时间和精力去
  • Reverse Linked List II hcx2013 list
    Reverse a linked list from position m to n. Do it in-place and in one-pass. For example:Given 1->2->3->4->5->NULL, m = 2 and n = 4, return 
  • Spring4.1新特性——页面自动化测试框架Spring MVC Test HtmlUnit简介 jinnianshilongnian spring 4.1
    目录 Spring4.1新特性——综述 Spring4.1新特性——Spring核心部分及其他 Spring4.1新特性——Spring缓存框架增强 Spring4.1新特性——异步调用和事件机制的异常处理 Spring4.1新特性——数据库集成测试脚本初始化 Spring4.1新特性——Spring MVC增强 Spring4.1新特性——页面自动化测试框架Spring MVC T
  • Hadoop集群工具distcp liyonghui160com
        1. 环境描述 两个集群:rock 和 stone rock无kerberos权限认证,stone有要求认证。 1. 从rock复制到stone,采用hdfs Hadoop distcp -i hdfs://rock-nn:8020/user/cxz/input hdfs://stone-nn:8020/user/cxz/运行在rock端,即源端问题:报版本
  • 一个备份MySQL数据库的简单Shell脚本 pda158 mysql脚本
      主脚本(用于备份mysql数据库):   该Shell脚本可以自动备份 数据库。只要复制粘贴本脚本到文本编辑器中,输入数据库用户名、密码以及数据库名即可。我备份数据库使用的是mysqlump 命令。后面会对每行脚本命令进行说明。    1. 分别建立目录“backup”和“oldbackup”   #mkdir /backup   #mkdir /oldbackup  
  • 300个涵盖IT各方面的免费资源(中)——设计与编码篇 shoothao IT资源图标库图片库色彩板字体
    A. 免费的设计资源 Freebbble:来自于Dribbble的免费的高质量作品。 Dribbble:Dribbble上“免费”的搜索结果——这是巨大的宝藏。 Graphic Burger:每个像素点都做得很细的绝佳的设计资源。 Pixel Buddha:免费和优质资源的专业社区。 Premium Pixels:为那些有创意的人提供免费的素材。
  • thrift总结 - 跨语言服务开发 uule thrift
    官网 官网JAVA例子 thrift入门介绍 IBM-Apache Thrift - 可伸缩的跨语言服务开发框架 Thrift入门及Java实例演示 thrift的使用介绍   RPC    POM: <dependency> <groupId>org.apache.thrift</groupId>
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他