openssl genrsa -out server.key 1024(不要求輸入密碼)
openssl req -new -key server.key -out server.csr
cat server.csr
貼上上述內容到 pf 伺服器 儲存到檔案 server.crt
使用上述的檔案server.key server.crt 替換/usr/local/pf/conf/ssl 的檔案
/etc/init.d/packetfence restart
生成self signed證書
# 生成乙個key,你的私鑰,openssl會提示你輸入乙個密碼,可以輸入,也可以不輸,
# 輸入的話,以後每次使用這個key的時候都要輸入密碼,安全起見,還是應該有乙個密碼保護》 openssl genrsa -des3 -out selfsign.key 4096# 使用上面生成的key,生成乙個certificate signing request (csr)生成自己的ca (certificate authority)# 如果你的key有密碼保護,openssl首先會詢問你的密碼,然後詢問你一系列問題,
# 其中common name(cn)是最重要的,它代表你的證書要代表的目標,如果你為**申請的證書,就要添你的網域名稱。> openssl req -new -key selfsign.key -out selfsign.csr
# 生成self signed證書 selfsign.crt就是我們生成的證書了
> openssl x509 -req -days 365 -in selfsign.csr -signkey selfsign.key -out selfsign.crt
# 另外乙個比較簡單的方法就是用下面的命令,一次生成key和證書
> openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout privatekey.key -out certificate.crt
# 生成ca的key> openssl genrsa -des3 -out ca.key 4096# 生成ca的證書》 openssl req -new -x509 -days 365 -key ca.key -out ca.crt# 生成我們的key和csr這兩步與上面self signed中是一樣的》 openssl genrsa -des3 -out myserver.key 4096> openssl req -new -key myserver.key -out myserver.csr
# 使用ca的證書和key,生成我們的證書
# 這裡的set_serial指明了證書的序號,如果證書過期了(365天後),
# 或者證書key洩漏了,需要重新發證的時候,就要加1> openssl x509 -req -days 365 -in myserver.csr -ca ca.crt -cakey ca.key -set_serial 01 -out myserver.crt
# 檢視key資訊》 openssl rsa -noout -text -in myserver.key有時候每次都要輸入密碼太繁瑣了,可以把key的保護密碼去掉# 檢視csr資訊》 openssl req -noout -text -in myserver.csr
# 檢視證書資訊》 openssl x509 -noout -text -in ca.crt
# 驗證證書
# 會提示self signed> openssl verify selfsign.crt
# 因為myserver.crt 是幅ca.crt發布的,所以會驗證成功
> openssl verify -cafile ca.crt myserver.crt
> openssl rsa -in myserver.key -out server.key.insecure
# pkcs轉換為pem> openssl pkcs12 -in myserver.pfx -out myserver.pem -nodes
# pem轉換為der> openssl x509 -outform der -in myserver.pem -out myserver.[der|crt]
# pem提取key
> openssl rsa -in myserver.pem -out myserver.keyopenssl提供了簡單的client和server工具,可以用來模擬ssl連線,做測試使用。# der轉換為pem
> openssl x509 -inform der -in myserver.[cer|crt] -out myserver.pem
# pem轉換為pkcs
> openssl pkcs12 -export -out myserver.pfx -inkey myserver.key -in myserver.pem -certfile ca.crt
# 連線到遠端伺服器》 openssl s_client -connect www.google.com.hk:443# 模擬的https服務,可以返回openssl相關資訊# -accept 用來指定監聽的埠號
# -cert -key 用來指定提供服務的key和證書》 openssl s_server -accept 443 -cert myserver.crt -key myserver.key -www
# 可以將key和證書寫到同乙個檔案中》 cat myserver.crt myserver.key > myserver.pem
# 使用的時候只提供乙個引數就可以了》 openssl s_server -accept 443 -cert myserver.pem -www
# 可以將伺服器的證書儲存下來》 openssl s_client -connect www.google.com.hk:443 remoteserver.pem
# 轉換成der檔案,就可以在windows下直接檢視了》 openssl x509 -outform der -in remoteserver.pem -out remoteserver.cer
# md5 digest> openssl dgst -md5 filename
# sha1 digest
> openssl dgst -sha1 filename
OpenSSL生成證書
要生成證書的目錄下建立幾個檔案和資料夾,有.democa democa newcerts democa index.txt democa serial,在serial檔案中寫入第乙個序列號 01 1.生成x509格式的ca自簽名證書 opensslreq new x509 keyout ca.key...
openssl建立證書
建立乙個ca的key檔案。該檔案非常好重要。請好好保管。openssl genrsa des3 out ca.key 2048根據key生成乙個自簽署的檔案。在這裡,證書的有效期是10年 實際上3650天 openssl req new x509 days 3650 key ca.key out c...
openssl 生成 證書
x509 證書一般會用到三類文,key,csr,crt。key是私用金鑰 openssl 格,通常是 rsa演算法。csr是證書請求檔案,用於申請證書。在製作 csr檔案的時,必須使用自己的私鑰來簽署申,還可以設定乙個金鑰。crt是ca 認證後的證書文,windows 下面的,其實是 crt 簽署人...