openssl命令详解

OpenSSL是一个安全套接字层密码库，其包括常用的密码算法、常用的密钥生成和证书封装管理功能及SSL协议，并提供了丰富的应用程序以供测试。

OpenSSL是一个开源的项目，其由三个部分组成：

1、openssl命令行工具；轮液数腊首

2、libencrypt加密算法库；

3、libssl加密模块应用库；

这里主要学习下openssl命令工具的用法，openssl命令工具有两种运行模式： 交换模式 和 批处理模式 。直接输入openssl回车即可进入交互模式，而输入带命令选项的openssl命令则进行批处理模式。

利用OpenSSL作对称加密需要使用其子命令enc，其用法为：

其中常用的选项为：

使用案例 ：

OpenSSL单向加密的子命令为dgst，其语法如下：

其常用的选项为：

单向加密除了 openssl dgst 工具还有： md5sum，sha1sum，sha224sum，sha256sum ，sha384sum，sha512sum

使用案例 ：

或

OpenSSL还支持生成密码的hash离散值，其子命令为passwd，语法如下：

常用选项为：

使用案例 ：

openssl命令也支持生成随机数，其子命令为rand，对应的语法为：

常用选项有：

使用案例 ：

利用openssl命令的子命令genrsa生成私钥，然后再使用子命令rsa私钥中提取公钥。

genrsa的语法如下：

通常来说秘钥文件的权限一般只能由管理员访问，因此可以结合umask命令来设置生成的密钥文件的权限，如：

而随后可利用rsa子命令生成的私钥文件中提取公钥，rsa子命令的语法为：

常用选项为：

-in FILENAME：指明私钥文件的存放路径；

-out FILENAME：指明将公钥的保存路径；

-pubout：根据提供的私钥，从中提取出公钥；

如：

在使用OpenSSL命令创建证书前，可查看配置文件/etc/pki/tls/openss.conf文件，查看该文件定义了的证书存放位置及名称。

1）创建自签证书

首先为CA提供所需的目录及文件，并指明证书的开始编号：

随后生成私钥，注意私钥的文件名及其存放的位置，需与配置文件中相匹配：

最后创建自签证书：

其埋基中命令 openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3650 用到子命令为req，其为证书请求及生成的工具，用到的选项解释为：

2）颁发证书

通常来说在CA签署颁发证书需要进行以下步骤：

上述命令用到了openssl命令的子命令CA，用于在CA服务器上签署或吊销证书。

上述查看证书使用了openssl命令的子命令x509，其选项解释为：

3）吊销证书

吊销证书的步骤通常为：

-gencrl选项为根据/etc/pki/CA/index.txt文件中的信息生成crl文件。

是程序处理文件出现错误。解决方法：

1、单击选择下唯让【属性】。

2、接着鼠标点下界面里的【高级伍激系统设置】，如图。

3、接着鼠标立即选择下【环境变量】，如图。

4、接着找到【系统变量——Path】，下方选择【编辑】。

5、看到【%SystemRoot%】，点下它后指橘局右侧点【编辑】。

6、接着我们在这名字后面加【；System32】就可以了。

---