当前位置: 首页 > news >正文

openssl req 详解

一、openssl req

该命令用于创建和处理PKCS#10格式的证书请求(certificate requests CSRs),也可以用来创建自签名证书( self-signed certificates)来当作根证书(root CAs)使用

-new 该选项用来生成一个新的证书请求(certificate request),它将提示用户输入相关的字段值。
如果没有指定-key选项,则会使用配置文件中的默认信息自动生成一个私钥以及证书请求文件;或者可以指定 -newkey和 -pkeyopt 两个选项用来指定生成的私钥类型

-out filename 指定输出文件名,如果不指定则输出到 标准输出

-key filename|uri 生成一个证书请求或者签名一个证书需要使用到私钥,该选项

-in filename 这指定了要从中读取证书请求的输入文件名。仅当未指定创建选项(-new 或 -newkey 或 -precert)时,才会只读取请求。

-x509 指定此选项的话,输出的就是一个证书文件而不是证书请求文件

-keyout filename 指定自动生成的私钥文件名,或者从-key中指定的文件名,如果 -keyout 和 -key 选项都没有被提供,则会使用配置文件中的default_keyfile选项,如果上述选项都没有配置,则会输出到标准输出

-config filename 指定配置文件路径

-CA filename|uri 指定 “CA” 证书用于对其他证书进行签名(即对证书请求文件的相关内容进行签名生成一个新的证书),使用此选项,意味着包含了-x509选项

-CAkey filename|uri 使用CA证书对其他证书签名的时候需要指定该CA证书的私钥

-inform DER|PEM 指定输入CSR文件的编码格式,默认情况是PEM格式

-outform DER|PEM 指定输出CSR文件的编码格式,默认情况下不指定

-text 以text的格式输出CSR文件

-pubkey输出CSR文件中对应的公钥信息

-passout arg 指定输出文件的密码,一般用于指定生成key的密码

-passin arg 用于指定输入私钥文件或者证书、证书请求的密码

-newkey arg 当CSR生成命令没有使用-key指定一个具体的私钥的时候,会使用默认配置生成一个私钥,但是也可以使用-newkey arg选项自定义输出一个私钥
该选项同时包含了-new选项去生成一个CSR文件或者证书文件(证书文件需要同时指定-x509选项)。
arg选项如下:

-config filename 用于指定配置文件

-section name 指定配置文件中的section,默认式req

-verify 用于验证CSR自签名是否能成功,如果失败立即退出,并且不会打印信息,如果成功会打印如下字样:
Certificate request self-signature verify OK

-subj arg 用于设置证书请求文件的主题项(subject) -subj “/C=GB/CN=foo”

-not_before date 设置证书的生效时间 当-x509选项被指定的时候,该选项才会被允许使用,格式是 YYMMDDHHMMSSZ或者YYYYMMDDHHMMSSZ 或者 today

-not_after date 设置证书的到期时间 当-x509选项被指定的时候,该选项才会被允许使用,格式是 YYMMDDHHMMSSZ或者YYYYMMDDHHMMSSZ 或者 today

-days n 用于指定证书从今天开始的到期天数,n是一个正整数,默认是30天;当设置此值的时候不需要关注not_before,因为是从今天开始;当not_after此值被设置的时候,会覆盖掉-days选项的值,即-not_after 与 -days同时存在的时候, -not_after生效。

二、命令实例详解

  • 1、生成一个CSR文件,并且同时生成一个私钥文件
openssl req -new -keyout myprivkey.pem  -out mycsr.pem

上述命令再生成csr文件的同时也会生成一个私钥,一般情况下私钥需要使用加密算法+密码进行加密,所以会有提示让你输入密码,如果不想交互式的输入密码,可以使用-passout pass:mima选项

Enter PEM pass phrase:Verifying - Enter PEM pass phrase:

在默认配置中,也会要求对输出的CSR文件进行加密,所以也会提升输入密码,如果不想要密码,可以再配置文件中进行修改

A challenge password []:
  • 2、使用存在的证书文件生成一个证书请求文件
 openssl req -new -key myprivkey1.pem  -out mycsr1.pem

如果私钥文件有密码,则会交互式的输入密码,如果不想交互式的输入密码,可以使用-passin pass:mima选项输入密码

  • 3、生成一个证书,该证书是自签名根证书( self-signed root certificate)
openssl req -new -keyout myprivkey1.pem  -x509 -out mycertificate.pem

如果想要生成一个证书文件,必须要指定-x509 选项,密码以及私钥策略同上

  • 4、检查和验证证书请求文件的正确性
 openssl req -in .\mycsr.pem -verif
  • 5、使用CA证书签名CSR文件,生成一个对应的新证书以及生成一个对应的私钥
openssl req -CA mycertificate.pem  -CAkey myprivkey.pem  -out testcert.pem

上述命令会自动生成一个私钥,以及由CA证书签名的证书

-CA选项用于指定CA根证书,CAkey用于指定CA对应的私钥,-CA选项通常包含-x509选项,而-x509又包含-new选项,所以上述命令有自动生成的含义

  • 6、使用CA证书签名CSR文件,生成一个对应的新证书
openssl req -CA mycertificate.pem  -CAkey myprivkey.pem -in mycsr.pem -out testcert2.pem

上述命令对已有的CSR文件进行签名,如果不指定-in选项,会自动(如果不指定in选项,会默认包含-new选项)生成一个私钥(该私钥需要交互式输入密码,如果不想交互式的输入密码需要指定-passout选项)以及对应的证书文件

三、配置文件

1、req的配置文件,用于存储一些配置字段以及需要交互式输入的字段

[ req ]
default_bits           = 2048
default_keyfile        = privkey.pem
distinguished_name     = req_distinguished_name
attributes             = req_attributes
req_extensions         = v3_cadirstring_type = nobmp[ req_distinguished_name ]
countryName                    = Country Name (2 letter code)
countryName_default            = AU
countryName_min                = 2
countryName_max                = 2localityName                   = Locality Name (eg, city)organizationalUnitName         = Organizational Unit Name (eg, section)commonName                     = Common Name (eg, YOUR name)
commonName_max                 = 64emailAddress                   = Email Address
emailAddress_max               = 40[ req_attributes ]
challengePassword              = A challenge password
challengePassword_min          = 4
challengePassword_max          = 20[ v3_ca ]subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer:always
basicConstraints = critical, CA:true

2、默认配置文件示例

[ req ]
default_bits           = 2048
default_keyfile        = keyfile.pem
distinguished_name     = req_distinguished_name
attributes             = req_attributes
prompt                 = no
output_password        = mypass[ req_distinguished_name ]
C                      = GB
ST                     = Test State or Province
L                      = Test Locality
O                      = Organization Name
OU                     = Organizational Unit Name
CN                     = Common Name
emailAddress           = test@email.address[ req_attributes ]
challengePassword              = A challenge password

注意

一个证书请求文件一般需要包含一个公钥以及如下信息:

Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:

但是在实际命令中通常是需要输入一个私钥,然后从私钥中提取公钥以及其他相关信息再配合上述信息共同组成证书请求文件。

相关文章:

openssl req 详解

一、openssl req 该命令用于创建和处理PKCS#10格式的证书请求(certificate requests CSRs),也可以用来创建自签名证书( self-signed certificates)来当作根证书(root CAs)使用 -new 该选项用来…...

mysql各种锁总结

mysql全局锁 读锁(共享锁) 阻止其他用户更新,但允许他们读取数据。 写锁(排他锁) 阻止其他用户读取和更新数据。 全局锁场景:进行数据库备份 数据库备份 背景:备份数据肯定要保证数据一致…...

SpringSecurity--DelegatingFilterProxy工作流程

什么是 DelegatingFilterProxy? DelegatingFilterProxy 是 Spring 提供的一个特殊的过滤器,它起到了桥梁的作用,可以让你在 Spring 容器中管理 Servlet 容器中的过滤器。 为什么需要 DelegatingFilterProxy? 通常情况下&#x…...

GitHub每日最火火火项目(7.27)

1. 项目名称:meta - llama / llama3 项目介绍:这是 Meta Llama 3 的官方 GitHub 站点。目前尚不清楚该项目的具体功能和特点,但从名称推测,可能与 Llama 3 模型相关,或许涉及到模型的开发、训练或应用等方面。 项目地…...

git 学习总结

文章目录 一、 git 基础操作1、工作区2、暂存区3、本地仓库4、远程仓库 二、git 的本质三、分支git 命令总结 作者: baron 一、 git 基础操作 如图所示 git 总共有几个区域 工作区, 暂存区, 本地仓库, 远程仓库. 1、工作区 存放项目代码的地方,他有两种状态 Unm…...

《如何找到自己想做的事》

Arouse Enthusiasm, Give Scope to Skill, Explore The Essence *摘其两纸 我喜欢打篮球,并不是我真的喜欢这项运动,而是我喜欢团队竞技。我喜欢看书,并不是我真喜欢阅读,而是我想要了解世界运行逻辑。寻找热爱,探寻本…...

Vue中el的两种写法

大家好我是前端寄术区博主PleaSure乐事。今天了解到了Vue当中有关el的两种写法,记录下来与大家分享,希望对大家有所帮助。 方法一 解释 第一种方法我们直接用new创建并初始化一个新的 Vue 实例,并定义了 Vue 实例的数据对象,在给…...

ELK安装(Elasticsearch+Logstash+Kibana+Filebeat)

一、简介 1.1、软件简介 ELK其实是Elasticsearch,Logstash 和 Kibana三个产品的首字母缩写,这三款都是开源产品。 1.1.1、Elasticsearch简介 Elasticsearch 是一个分布式、高扩展、高实时的搜索与数据分析引擎。它能很方便的使大量数据具有搜索、分析…...

VScode使用Github Copilot插件时出现read ECONNREST问题的解决方法

文章目录 read ECONNREST查看是否仍是 Copilot 会员查看控制台输出网络连接问题浏览器设置问题笔者的话 read ECONNREST 最近使用 Copilot 时一直出现 read ECONNREST 问题,这个表示连接被对方重置了,就是说在读取数据时连接被关闭。 我首先怀疑是不是…...

充电桩浪涌保护方案—保障充电设施安全稳定运行的关键

在当今新能源汽车蓬勃发展的时代,充电桩作为电动汽车的“加油站”,其重要性不言而喻。然而,由于其复杂的电气环境和暴露于户外的特点,充电桩容易受到浪涌的影响。浪涌可能来自雷电、电网故障、大功率设备的启停等,对充…...

Python包管理工具pip

1、安装pip cmd管理员模式打开控制台 python -m pip install --upgrade pip 2、添加pip环境变量 pip 路径 C:\Users\1\AppData\Local\Programs\Python\Python312\Scripts...

最全国内13家DNS分享 解决网页被恶意跳转或无法打开问题

腾讯 DNS (DNSPod) 腾讯 DNS 是由 DNSPod 提供的公共免费 DNS 服务。DNSPod 已被腾讯收购,现在属于腾讯公司所有。该 DNS 服务稳定性和连通性良好,经测试在海外也可以使用。 DNSPod 提供了 IPv4、IPv6 DNS 和 DoT/DoH 服务。 IPv4 地址: 119.29.29.29…...

最新站长工具箱源码,拥有几百个功能,安装教程

最新站长工具箱源码,拥有几百个功能,安装教程 在 Docker 上运行 docker run -e LAFREGIONCN -e APPLANGzh_CN --name my-miaoda -v ~/.miaoda-docker:/root/.miaoda -d -p 0.0.0.0:39899:39899 codegentoolbox/laftools-linux-x64:latestNOTE: 默认端…...

【算法/训练】:动态规划(线性DP)

一、路径类 1. 字母收集 思路: 1、预处理 对输入的字符矩阵我们按照要求将其转换为数字分数,由于只能往下和往右走,因此走到(i,j)的位置要就是从(i - 1, j)往下走&#…...

计算巨头 Azure、AWS 和 GCP 的比较

云计算领域由三大主要参与者主导:Microsoft Azure、Amazon Web Services (AWS) 和 Google Cloud Platform (GCP)。每个平台都为希望利用云提供基础设施、平台服务等的企业提供强大的功能。在本文中,我们将深入探讨这些平台之间的差异,重点关注…...

Thinkphp5跨域问题常见的处理方法

在ThinkPHP5中,处理跨域问题通常涉及配置中间件或直接在控制器中设置响应头。以下是几种常见的解决跨域问题的方法: 1. 使用中间件处理跨域 你可以创建一个中间件来专门处理跨域请求。这个中间件会检查请求的来源,并设置相应的响应头来允许…...

Matlab编程资源库(9)数据插值与曲线拟合

一、一维数据插值 在MATLAB中,实现这些插值的函数是interp1,其调用格式为: Y1interp1(X,Y,X1,method) 函数根据X,Y的值,计算函数在X1处的值。X,Y是两个等长的已知向量,分别描述采样点和样本值,X1是一个向量…...

matplotlib的科研绘图辅助

matplotlib的科研绘图辅助 趁着暑假,与和鲸科技合作了一个python绘图的教程,作为暑期夏令营的一小部分,主要内容是介绍如何使用matplotlib、pandas、seaborn和plotnine进行医学科研绘图,感兴趣的可以通过如下地址进行访问&#x…...

C++内存管理(候捷)第五讲 笔记

GNU C对allocators的描述 new_allocator 和malloc_allocator,它们都没有特别的动作,无非底部调用operator new和malloc。它们没有用内存池 区别:::operator new是可重载的 智能型的allocator,使用内存池,分一大块然后…...

谷粒商城实战笔记-63-商品服务-API-品牌管理-OSS获取服务端签名

文章目录 一,创建第三方服务模块thrid-party1,创建一个名为gulimall-third-party的模块2,nacos上创建third-party命名空间,用来管理这个服务的所有配置3,配置pom文件4,配置文件5,单元测试6&…...

Appium+python自动化(十六)- ADB命令

简介 Android 调试桥(adb)是多种用途的工具,该工具可以帮助你你管理设备或模拟器 的状态。 adb ( Android Debug Bridge)是一个通用命令行工具,其允许您与模拟器实例或连接的 Android 设备进行通信。它可为各种设备操作提供便利,如安装和调试…...

Java 8 Stream API 入门到实践详解

一、告别 for 循环&#xff01; 传统痛点&#xff1a; Java 8 之前&#xff0c;集合操作离不开冗长的 for 循环和匿名类。例如&#xff0c;过滤列表中的偶数&#xff1a; List<Integer> list Arrays.asList(1, 2, 3, 4, 5); List<Integer> evens new ArrayList…...

ffmpeg(四):滤镜命令

FFmpeg 的滤镜命令是用于音视频处理中的强大工具&#xff0c;可以完成剪裁、缩放、加水印、调色、合成、旋转、模糊、叠加字幕等复杂的操作。其核心语法格式一般如下&#xff1a; ffmpeg -i input.mp4 -vf "滤镜参数" output.mp4或者带音频滤镜&#xff1a; ffmpeg…...

【Go】3、Go语言进阶与依赖管理

前言 本系列文章参考自稀土掘金上的 【字节内部课】公开课&#xff0c;做自我学习总结整理。 Go语言并发编程 Go语言原生支持并发编程&#xff0c;它的核心机制是 Goroutine 协程、Channel 通道&#xff0c;并基于CSP&#xff08;Communicating Sequential Processes&#xff0…...

Python 包管理器 uv 介绍

Python 包管理器 uv 全面介绍 uv 是由 Astral&#xff08;热门工具 Ruff 的开发者&#xff09;推出的下一代高性能 Python 包管理器和构建工具&#xff0c;用 Rust 编写。它旨在解决传统工具&#xff08;如 pip、virtualenv、pip-tools&#xff09;的性能瓶颈&#xff0c;同时…...

Xen Server服务器释放磁盘空间

disk.sh #!/bin/bashcd /run/sr-mount/e54f0646-ae11-0457-b64f-eba4673b824c # 全部虚拟机物理磁盘文件存储 a$(ls -l | awk {print $NF} | cut -d. -f1) # 使用中的虚拟机物理磁盘文件 b$(xe vm-disk-list --multiple | grep uuid | awk {print $NF})printf "%s\n"…...

Go语言多线程问题

打印零与奇偶数&#xff08;leetcode 1116&#xff09; 方法1&#xff1a;使用互斥锁和条件变量 package mainimport ("fmt""sync" )type ZeroEvenOdd struct {n intzeroMutex sync.MutexevenMutex sync.MutexoddMutex sync.Mutexcurrent int…...

MySQL 8.0 事务全面讲解

以下是一个结合两次回答的 MySQL 8.0 事务全面讲解&#xff0c;涵盖了事务的核心概念、操作示例、失败回滚、隔离级别、事务性 DDL 和 XA 事务等内容&#xff0c;并修正了查看隔离级别的命令。 MySQL 8.0 事务全面讲解 一、事务的核心概念&#xff08;ACID&#xff09; 事务是…...

android13 app的触摸问题定位分析流程

一、知识点 一般来说,触摸问题都是app层面出问题,我们可以在ViewRootImpl.java添加log的方式定位;如果是touchableRegion的计算问题,就会相对比较麻烦了,需要通过adb shell dumpsys input > input.log指令,且通过打印堆栈的方式,逐步定位问题,并找到修改方案。 问题…...

Golang——7、包与接口详解

包与接口详解 1、Golang包详解1.1、Golang中包的定义和介绍1.2、Golang包管理工具go mod1.3、Golang中自定义包1.4、Golang中使用第三包1.5、init函数 2、接口详解2.1、接口的定义2.2、空接口2.3、类型断言2.4、结构体值接收者和指针接收者实现接口的区别2.5、一个结构体实现多…...