<p>申请证书</p><p>SSL常用于身份验证、数据加密等应用中,要使用SSL,我们密码有自己的证书。数字证书一般要向专业的认证公司(如VeriSign)申请,并且都是收费的,某些情况下,我们只是想使用加密的数据通信,而不在乎认证,这时就可以自己制作一个证书,自己制作一个证书,有两种方式,一种是Self Signed,另一种是自己制作一个CA,然后由这个CA,来发布我们需要的证书。下面分别介绍这两个方法。</p><p>生成Self Signed证书</p><p># 生成一个key,你的私钥,openssl会提示你输入一个密码,可以输入,也可以不输,</p><p># 输入的话,以后每次使用这个key的时候都要输入密码,安全起见,还是应该有一个密码保护</p><p>> openssl genrsa -des3 -out selfsign.key 4096</p><p># 使用上面生成的key,生成一个certificate signing request (CSR)</p><p># 如果你的key有密码保护,openssl首先会询问你的密码,然后询问你一系列问题,</p><p># 其中Common Name(CN)是最重要的,它代表你的证书要代表的目标,如果你为网站申请的证书,就要添你的域名。</p><p>> openssl req -new -key selfsign.key -out selfsign.csr</p><p># 生成Self Signed证书 selfsign.crt就是我们生成的证书了</p><p>> openssl x509 -req -days 365 -in selfsign.csr -signkey selfsign.key -out selfsign.crt</p><p># 另外一个比较简单的方法就是用下面的命令,一次生成key和证书</p><p>> openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout privateKey.key -out certificate.crt</p><p>生成自己的CA (Certificate Authority)</p><p>CA是证书的发布者,CA可以发布其他人的证书,把CA的证书加入系统信任的根证书后,由CA发布的证书也被系统所信任,所以,CA的key是必须小心保护的,一般都要加密保护,并且限制为root权限读写。</p><p># 生成CA的key</p><p>> openssl genrsa -des3 -out ca.key 4096</p><p># 生成CA的证书</p><p>> openssl req -new -x509 -days 365 -key ca.key -out ca.crt</p><p># 生成我们的key和CSR这两步与上面Self Signed中是一样的</p><p>> openssl genrsa -des3 -out myserver.key 4096</p><p>> openssl req -new -key myserver.key -out myserver.csr</p><p># 使用ca的证书和key,生成我们的证书</p><p># 这里的set_serial指明了证书的序号,如果证书过期了(365天后),</p><p># 或者证书key泄漏了,需要重新发证的时候,就要加1</p><p>> openssl x509 -req -days 365 -in myserver.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out myserver.crt</p><p>查看证书</p><p># 查看KEY信息</p><p>> openssl rsa -noout -text -in myserver.key</p><p># 查看CSR信息</p><p>> openssl req -noout -text -in myserver.csr</p><p># 查看证书信息</p><p>> openssl x509 -noout -text -in ca.crt</p><p># 验证证书</p><p># 会提示self signed</p><p>> openssl verify selfsign.crt</p><p># 因为myserver.crt 是幅ca.crt发布的,所以会验证成功</p><p>> openssl verify -CAfile ca.crt myserver.crt</p><p>去掉key的密码保护</p><p>有时候每次都要输入密码太繁琐了,可以把Key的保护密码去掉</p><p>> openssl rsa -in myserver.key -out server.key.insecure</p><p>不同格式证书的转换</p><p>一般证书有三种格式:</p><p>PEM(.pem) 前面命令生成的都是这种格式,</p><p>DER(.cer .der) Windows 上常见</p><p>PKCS#12文件(.pfx .p12) Mac上常见</p><p># PEM转换为DER</p><p>> openssl x509 -outform der -in myserver.crt -out myserver.der</p><p># DER转换为PEM</p><p>> openssl x509 -inform der -in myserver.cer -out myserver.pem</p><p># PEM转换为PKCS</p><p>> openssl pkcs12 -export -out myserver.pfx -inkey myserver.key -in myserver.crt -certfile ca.crt</p><p># PKCS转换为PEM</p><p>> openssl pkcs12 -in myserver.pfx -out myserver2.pem -nodes</p><p>测试证书</p><p>Openssl提供了简单的client和server工具,可以用来模拟SSL连接,做测试使用。</p><p># 连接到远程服务器</p><p>> openssl s_client -connect www.google.com.hk:443</p><p># 模拟的HTTPS服务,可以返回Openssl相关信息</p><p># -accept 用来指定监听的端口号</p><p># -cert -key 用来指定提供服务的key和证书</p><p>> openssl s_server -accept 443 -cert myserver.crt -key myserver.key -www</p><p># 可以将key和证书写到同一个文件中</p><p>> cat myserver.crt myserver.key > myserver.pem</p><p># 使用的时候只提供一个参数就可以了</p><p>> openssl s_server -accept 443 -cert myserver.pem -www</p><p># 可以将服务器的证书保存下来</p><p>> openssl s_client -connect www.google.com.hk:443 </dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > remoteserver.pem</p><p># 转换成DER文件,就可以在Windows下直接查看了</p><p>> openssl x509 -outform der -in remoteserver.pem -out remoteserver.cer</p><p>计算MD5和SHA1</p><p># MD5 digest</p><p>> openssl dgst -md5 filename</p><p># SHA1 digest</p><p>> openssl dgst -sha1 filename</p>